Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Infiezierung durch "Pishing-seite"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 23.08.2007, 18:43   #1
DeDaniel
 
Infiezierung durch "Pishing-seite" - Standard

Infiezierung durch "Pishing-seite"



Die Vorgeschichte:
als meine Schwester am chatten bei Msn war erhielt sie von einer Freundin eine Nachtricht in der ihr angeboten wurde auf einer Seite namens mess-list.c*m
oder list-mess.c*m nach zu schauen ob eine Kontackte sie blockiere oder gelöscht habe. Auf dieser Seite sollte sie dann ihre Msn-Adresse und ihr Pw eingeben soll.Das tat sie auch. Wenig später flog sie aus msn raus weil sich jemand anderes in ihrem acc. eingeloggt hat und ihre Kontakte erhielten die selbe Nachricht.

Jetzt stellt die frage (ob) was durch diesen Seitenbesuch auf den Pc gelangt ist. Mein Antivirus hat jedenfalls nichts gefunden.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:27, on 23.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5504 bytes
         
Ich wäre sehr dankbar wenn das jemand auswerten könnte.
Vielen Dank
DeDaniel

Edit: Upps, grad meinen Rechtschreibfehler im Titel gesehen *schämt*

Alt 23.08.2007, 18:51   #2
undoreal
/// AVZ-Toolkit Guru
 
Infiezierung durch "Pishing-seite" - Standard

Infiezierung durch "Pishing-seite"



Hallo.

Zitat:
meine(n) Rechtschreibfehler
Das war dann in der Tat ein richtig schönes Phishing.

Dein MSN Acc dürfte damit futsch sein; auf deinem Rechner kann ich keine Infizierung entdecken. Hatt deine Schwester garntiert keine Dateien geöffnet bzw. ausgeführt und auch sonst keine Informationen außer die MSN Daten herausgegeben?

Ich würde mal Spybot und Lavasoft über das System gucken lassen.

Gruß

Undoreal
__________________

__________________

Alt 23.08.2007, 20:46   #3
DeDaniel
 
Infiezierung durch "Pishing-seite" - Standard

Infiezierung durch "Pishing-seite"



Nein, hat sie nicht. Bei dem Msn acc. haben wir schnell ein neues sicheres Passwort gesetzt (Groß/Klein-schreibung, Sonderzeichen, Zahlen).

Spybot und Ad-Aware haben nicht außer Cookies und MRU Objekten gefunden.

Vielen Dank für deine schnelle Hilfe!

Grüße,
Daniel
__________________

Alt 24.08.2007, 01:27   #4
myrtille
/// TB-Ausbilder
 
Infiezierung durch "Pishing-seite" - Standard

Infiezierung durch "Pishing-seite"



Hi,
das Problem haben in letzter Zeit mehrere gehabt.
Wer sich allerdings auf solchen dubiosen Seiten anmeldet, braucht sich hinterher nicht über Mißbrauch zu wundern.
Auf die versandten Nachrichten wird in den NUB explizit hingewiesen, manchmal lohnt es sich sowas durchzuschauen, insbesondere wenn sie kurz sind.

Bisher ließ sich noch auf keinem Rechner etwas nachweisen, was natürlich nicht heiß, dass die Rechner sauber sind.
Hat sie die Seite tatsächlich nur besucht und dort keinerlei Dateien runtergeladen oder ausgeführt und benutzte sie einen alternativen Browser, so sind die Wahrscheinlichkeiten recht klein, dass der Rechner selbst kontaminiert wurde.

Der von dir (nicht) angegebene Link führt übrigens ins Leere, genauso wie die weiteren Links, die hier bekanntgegeben worden sind. Das "Angebot" wurde also wohl zurückgezogen und viele Faktoren sprechen dafür, dass es sich hier hauptsächlich um Passwortdiebstahl, bzw zumindest um was mehr oder weniger Illegales handelte.

lg myrtille

Alt 25.08.2007, 00:45   #5
DeDaniel
 
Infiezierung durch "Pishing-seite" - Standard

Infiezierung durch "Pishing-seite"



Hallo,
sie sagt sie habe nichts runtergeladen oder geöffnet. Als Browser verwenden wir den Firefox.

Das die Betreiber keine guten Absichten haben war mir klar, nur leider fehlte meiner Schwester eine gesunde portion Misstrauen.

Ach und: Die Seite war komplett auf Deutsch.

Grüße,
Daniel


Antwort

Themen zu Infiezierung durch "Pishing-seite"
adobe, antivirus, auswerten, avira, bho, dateien, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, messenger, microsoft, mozilla, mozilla firefox, msn, nvidia, programme, rundll, s-1-5-18, schreibfehler, software, system, trend micro, windows, windows xp



Ähnliche Themen: Infiezierung durch "Pishing-seite"


  1. Link Klick öffnet zunächst eine Link Fremde Seite " Casino Werbung " " Siele Werbung " "Erotik Seiten " oder ähnliches!
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (17)
  2. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Endloses "Laden" der Seite, verursacht durch NoScript
    Diskussionsforum - 17.04.2014 (9)
  5. Windows 7: Adware/Pop-Ups durch "iminent" bzw. "Free M4a to MP3 Converter"
    Plagegeister aller Art und deren Bekämpfung - 14.04.2014 (13)
  6. Browser: Suchmaschine und "Start" / "Neuer Tab" - Seite und kurze Hintergrundprogramme
    Log-Analyse und Auswertung - 05.01.2014 (11)
  7. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  8. SPAM-Vorwurf durch Internet-Anbieter / "Malwarebytes Anti-Malware"-Abstürze / Nachfrage zu "Secunia PSI"
    Log-Analyse und Auswertung - 30.08.2013 (17)
  9. Fund gemeldet "Ravmon.exe",aber nur durch Avira und nicht durch MBAM
    Log-Analyse und Auswertung - 13.01.2013 (20)
  10. Computer gesperrt durch die "Bundespolizei", entsperrung durch Geld
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (22)
  11. "Zeus"-Trojaner durch Web.de Nachricht "entdeckt
    Plagegeister aller Art und deren Bekämpfung - 01.07.2012 (15)
  12. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  13. Meldung "PUP.Dealio" und "Adware.WidgiToolbar" durch MBAM
    Log-Analyse und Auswertung - 01.09.2011 (31)
  14. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  15. hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland
    Plagegeister aller Art und deren Bekämpfung - 08.12.2010 (10)
  16. Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (9)
  17. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)

Zum Thema Infiezierung durch "Pishing-seite" - Die Vorgeschichte: als meine Schwester am chatten bei Msn war erhielt sie von einer Freundin eine Nachtricht in der ihr angeboten wurde auf einer Seite namens mess-list.c*m oder list-mess.c*m nach - Infiezierung durch "Pishing-seite"...
Archiv
Du betrachtest: Infiezierung durch "Pishing-seite" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.