Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   FTP Logindaten gestohlen (https://www.trojaner-board.de/56586-ftp-logindaten-gestohlen.html)

chris47803 23.07.2008 15:52
FTP Logindaten gestohlen
 
Hallo!

Ich habe Zugang zu mehreren FTPs.
Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert.
Niemand hat Zugang zu meinem Rechner
und die Daten habe ich nicht an Dritte weitergegeben.

Seit dem 07.07.2008 kann sich nun jemand mit meinem Namen und Passwort einloggen.
Es sind immer verschiedene Namen und Paswörter.

Er besitzt die IP 209.160.22.98
ACHTUNG: Diese IP bitte nicht mit dem IE aufrufen.

In einigen Index-Dateien wurde code eingefügt.
Falls der benötigt wird poste ich ihn hier noch.

Nun mein Problem:
AntiVir findet nichts.
HiJackthis findet auch alles okay.

Malwarebytes Anti-Malware findet:
C:\Programme\Internet Explorer\SETUPAPI.DLL (Trojan.BHO) -> No action taken.

Womit kann ich noch scannen?

Mein BS: Windows XP SP3

Danke, Chris

-SkY- 23.07.2008 16:35
*hust* myXOOPS.org - Fremder Code in der index.php [Forum - Sicherheit von XOOPS] *hust*

Da sind schonmal viele Antworten.

Wenn man dann außerdem mal die IP googled, kommen ziemlich Aufschlussreiche Ergebnisse..


EDIT: Hab die IP eben abgesichert mit dem IE7 aufgerufen, die Seite sieht nicht verseucht aus, da steht nur "Apache is functioning normally"

KarlKarl 23.07.2008 17:16
Hi,

Zitat:
da steht nur "Apache is functioning normally"
Genau das ist schon hochverdächtig. ein schnell angemieteter Server, auf dem in irgendeinem Unterverzeichnis Malware und Exploits warten, hat meistens so eine Startseite. Wobei das auch nicht die von Apache vorinstallierte ist, die enthält einiges mehr, sondern offensichtlich vom Seitenbetreiber so eingerichtet wurde.

Nachdem ich diesen Server aber nicht über seine IP sondern mit einem auf ihn zeigenden Domainnamen angesteuert habe, bekam ich auch prompt ein Javascript geliefert dass einen Iframe entschlüsselt und dann ins Dokument schreibt, der wiederum auf eine andere Seite zeigt, wo es dann einen Exploit gibt.

Irgendwie egal, die sind international tätig und wir werden sie sowieso nicht stoppen können. Die haben mit Sicherheit schon mehrere Server in mehreren anderen Ländern als Ausweichquartiere. Bleibt also die Frage, wie sie zu dem FTP kommen. Da tippe ich erstmal auf den Computer, von dem aus die FTP-Passwörter benutzt wurden. Also mal mit einem Hijackthis anfangen und dann weitersehen.

Gruß, Karl

chris47803 23.07.2008 18:06
Hallo!

Erstmal danke für eure Antworten.

Ich habe nun alle Rechner mit Malwarebytes Anti-Malware gecheckt.

Rechner 1:
Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully.

Rechner 2:
Infizierte Dateien:
C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully.


Rechner 3:
Sauber

Nun zu HiJackThis:

Rechner 1:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:25, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-21-436374069-861567501-725345543-1003\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10B66B7-E492-41C6-B095-995C7AAB9BA7}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpdj - HP - C:\DOKUME~1\xp-2200\LOKALE~1\Temp\hpdj.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6708 bytes
Rechner 2:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:36, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\emule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\wincmd\TOTALCMD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166963550852
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166963528299
O17 - HKLM\System\CCS\Services\Tcpip\..\{779AEB26-8E88-4F85-BF3B-BB3A7A05B711}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4418 bytes
Rechner 3:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:04, on 23.07.2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC6B9C5-1F0E-4183-876E-BC185A79890E}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZillaServer.exe (file missing)

--
End of file - 3660 bytes

KarlKarl 23.07.2008 20:22
Direkte Infektionen sind zwar auf keinem System zu sehen, aber:
  • System 1: Java ist veraltet.
  • System 2: Adobe Reader ist veraltet. ein inoffizieller WMF-Patch ist installiert, fehlt vielleicht der offizielle?
  • System 3: Java ist sehr veraltet, dazu Windows, keine Servicepacks. Ebenfalls der inoffizielle WMF-Patch.
Aller Wahrscheinlichkeit nach wird man noch mehr veraltete Software finden können, bei der meisten ist es im Hijackthis nicht erkennbar.

Aber zumindest Sachen wie ntos.exe sind nirgendwo erkennbar. Die war nämlich schon öfter der Grund für einen verratenen FTP-Zugang.

chris47803 24.07.2008 06:57
Hallo!

Dann hat sich der Dieb die Daten schon vor Monaten geholt?

Das aktuelle System läuft seit dem 07.04.2008.
Nur von diesem Rechner nutze ich die FTP-Verbindung.

Hat denn der Dieb meine Eingaben geloggt,
oder wie kommt der an diese Daten.

Im Total Commander gebe ich es ja nicht per Hand ein,
sondern klicke auf eine FTP-Verbindung.
Die Daten dazu sind verschlüsselt in einer Datei im Windows-Verzeichnis.

Gruß, Chris

chris47803 24.07.2008 17:29
Hallo!

Ich habe nochmal mit AntiVir gescannt.

Dies ist der Rechner mit XP SP3.

HTML-Code:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xp-2200\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\514ba913-2ac11405
    [0] Archivtyp: ZIP
    --> MagicApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
    --> OwnClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/ByteVerify
    --> ProxyClassLoader.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
    --> Installer.class
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Java.OpenConnection.AO
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Programme\Mozilla Firefox\SETUPAPI.DLL1
    [FUND]      Ist das Trojanische Pferd TR/Agent.9728.A
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINXP\system32\drivers\sptd.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP121\A0020017.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]  Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\'
Gleich mache ich noch einen eScan nach eurer Anleitung.

Gruß, Chris

chris47803 24.07.2008 20:56
Hallo!

Hier das Ergebnis von eScan.

HTML-Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
 
eScan Version: 9.9.7
Sprache: German
C:\DOKUME~1\xp-2200\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\UltraVNC\vncviewer.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.1102". Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP75\A0013804.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe
Offending file found: C:\WINXP\system32\unrar.dll
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
MicroWorld AntiVirus und Antispyware Toolkit.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
MicroWorld AntiVirus und Antispyware Toolkit.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\xp-2200\LOKALE~1\Temp\spydb.avs, Size: 839103].
Indexed Spyware Databases Successfully Created...
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
System found infected with lop.com Spyware/Adware (1111.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with savenow Adware (C:\WINXP\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{313b688c-09e2-11dd-a259-000b6a0874bb} !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINXP\system32\services.exe
lsass.exe - C:\WINXP\system32\lsass.exe
svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
vsmon.exe - C:\WINXP\system32\ZoneLabs\vsmon.exe -service
explorer.exe - C:\WINXP\Explorer.EXE
cmd.exe - cmd /c ""D:\Download\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Programme\Unknown Device Identifier\gwiopm.sys in SYSTEM\CurrentControlSet\Services\gwiopm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry SYSTEM32\DRIVERS\PTIUSBF.SYS in SYSTEM\CurrentControlSet\Services\ptiusbf. Action Taken: No Action Taken.
ERROR!!! ScanFile Fails for C:\WINXP\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry system32\DRIVERS\vmnetadapter.sys in SYSTEM\CurrentControlSet\Services\VMnetAdapter. Action Taken: No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_Multimedia_Factory_2_0.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_PC_Suite_rel_6_86_9_0_ger.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\Patcher1540\ZippedStagingArea\PatchFiles.zip
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Virtual_PC_2007_Install.msi
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{0FC76~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{29466~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{4CFB3~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\DERLOR~1
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Inbox
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\PERSON~1
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Sent
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Trash
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~2.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\PATCHE~4\ZIPPED~1\PATCHF~1.ZIP
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\VIRTUA~1.MSI
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\TEMPOR~1\Content.IE5\2E0F77T6\ZLSSET~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\Adobe\READER~1.0\SETUPF~1\{AC76B~1\ADBERD~1.MSI
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\VBA\VBA6\1031\VBLR6.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\OWCVBA10.CHM
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\ACMAIN10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\HTMLREF.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAAC10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAPP10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAWD10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAXL10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\XLMAIN10.CHM
ERROR!!! ScanFile fails for C:\Programme\Steinberg\WaveLab\Help\English\WaveLab.chm
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP85\A0015310.msi
ERROR!!! ScanFile fails for C:\WINXP\$NtServicePackUninstall$\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINXP\Help\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\ServicePackFiles\i386\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\drivers\sptd.sys
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\PHP&HT~1\XAMPP-~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F8D~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\USR_WE~2.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US2F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US3F8D~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US40B6~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\backup\US3F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\log\MYSQLD~3.GZ
Result: ERROR!!! File D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Ad-Aware 1.06.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\AD-AWA~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\TV-BRO~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\DERLOR~1
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Inbox
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\PERSON~1
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Sent
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Trash
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Autostart CD mit Menue\autorun.apm: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\AUTOST~1\autorun.apm
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Hardcore-Video-Multi-Player (9 Videos)\autorun.apm: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\HARDCO~1\autorun.apm
ERROR!!! ScanFile fails for D:\Download\Firefox_Setup_3.0_RC_1.exe
Result: ERROR!!! File D:\Download\klcodec395f.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\Download\klcodec395f.exe
ERROR!!! ScanFile fails for D:\Download\mwav.exe
ERROR!!! ScanFile fails for D:\SYSTEM~1\_RESTO~1\RP91\A0016274.exe
ERROR!!! ScanFile fails for E:\PC-PRO~1\MSUPDA~1\WI29E7~1.EXE
ERROR!!! ScanFile fails for E:\PC-PRO~1\PROGRA~1\Setup\PORTAB~1.0(F\PORTAB~1.EXE
Result: ERROR!!! File E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe
ERROR!!! ScanFile fails for E:\PC-PRO~1\Treiber\XP2200~1\16921_~1.EXE
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINXP\System32\drivers\etc\hosts:
C:\WINXP\System32\drivers\etc\hosts:127.0.0.1      localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 192881
Zahl der kritischen Objekte: 21
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 68
Zeit verstrichen: 02:35:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
 
Batchstart: 21:45:35,90
Batchende: 21:45:44,95

KarlKarl 24.07.2008 22:22
Relevant für dein Problem finde ich diese Funde nicht. Bei Escann kommt hinzu, dass das Programm mit Fehlalarmen um sich schmeißt. Bei den Dateien unterhalb von D:\Documente\Internet\Webseiten\Eigene wirst Du vermutlich besser wissen können, wie verdächtig sie sind. Aber selbst wenn: "not-virus:BadJoke.Win32.Badgame" ist eben kein Virus sondern nur ein schlechter Scherz.

Dann ein Hinweis auf diese Software.

Bei denen hier werde ich schon wieder richtig sauer und verfluche Escann:
Zitat:
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
Schau mal hier. Alle aufgelisteten Schlüssel werden dort von einer vertrauenswürdigen Software angelegt. Du hast ja oben geschrieben, dass Du Malwarebyte benutzt hast. Escan dient nur dazu, mit vielen dramatischen Falscherkennungen Druck zu machen, die Vollversion zu kaufen "weil die dann ja auch alles entfernen kann". Eine Masche, die man doch schon kennt. Winantivirus, Spysheriff, usw. arbeiten auch so.

Die ist eventuell noch interessant: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe, ich vermute aber auch einen Fehlalarm. Alles was Escann als "offending" meldet wird einfach gemeldet, weil es einen bestimmten Namen hat, ohne dabei auch nur zu berücksichtigen, in welchen Verzeichnis der Name auftritt. Für einen genaueren Check einer Datei bietet sich immer VirusTotal an.


Ich fürchte, dass es darauf hinauslaufen wird, erstmal zu beobachten, ob es zu weiteren unautorisierten Zugriffen auf die Seiten kommt (alle Zugriffsdaten sind ja geändert). Wenn nicht, wird die Ursache ungeklärt bleiben, aber immerhin ist das Problem auch weg. wenn Du ganz gründlich sein willst, dann setzt du ein System neu auf um es in Zukunft nur für solche Sachen zu nutzen. Alternativ ein System das von CD startet. Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel.

Heike 24.07.2008 22:42
Zitat:
Zitat von KarlKarl (Beitrag 357039)
Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel.
Da hätte ich allerdings auch Zweifel. Manchmal reicht es, so eine Datei einfach auf einem anderen PC an die entsprechende Stelle zu kopieren und, oh Wunder, der Access ist da. :teufel3:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:38 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129