| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe - TR/Phish.Bankfrd.UWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.03.2005, 16:21
| #1 |
| |  Hilfe - TR/Phish.Bankfrd.U Hallo Leute, ich wollte heute nur mal noch kurz meine E-Mails abrufen und habe vorher online bei web.de nicht nachgeguckt. In meinem Postfach war dadurch eine Mail zum Thema mein Bank Account in irgendwo. Just in dem Moment als ich die Mails in meinen Messenger runterlud fing AntiVir an sich ständig zu melden. Wie schon öfters geposted, will Antivir nicht meine Inbox löschen - wofür ich auch sehr dankbar bin ;-)!!! Ich habe die Mail gleich gelöscht und den papierkorb geleert, aber das scheint nix genutzt zu haben. Ich habe dann hier so einige Dinge im Forum gelesen und mich auch an verschiedenem versucht. Zuerst habe ich mit Jotti einen Versuch gestarted, aber meine Inbox ist dafür wohl viel zu groß. Also habe ich im abgesicherten Modus Ad-Aware (Ach so Ad-Aware hat auch noch so einige Dinge entfernt.und Spybot (konnte die win.ini nicht sacennen - sagte er)drüberlaufen lassen und noch ein log. file mit Hijack angefertigt. Bitteschön: Logfile of HijackThis v1.99.1 Scan saved at 14:23:35, on 25.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE F:\Programme\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\1\PROGS\SPYBOT\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programme\Elaborate Bytes\CloneCD 4.202\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Elaborate Bytes\CloneCD 4.202\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Pocket Sheet Sync] C:\Programme\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{197AE0CE-7C42-404F-A393-3725750FECE6}: NameServer = 192.168.1.254 O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - f:\PROGRA~1\CLIPIN~1.50\Server\ClipInc-Server.exe O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ich bin da nicht in der Lage etwas zu diesem Zahlenmoloch zu sagen. Vielleicht könntet Ihr mir helfen. Vielleicht auf ein Art, die auch ich verstehe, denn ich muss zugeben, dass manche Hilfen die hier woanders geposted sind ganz schön kryptisch sind. Ich habe dann später noch mit E-Scan gescannt und der hatte noch ne Datei gefunden Trojan-Spy.HTML.citifraud.bb. Die konnte irgendwie entfernt werden. Später habe ich dann noch die E-Mails von heute in einen Unterordner gepackt und von Jotti scannen lassen - ohne Befund. Ich bin für Hilfe jeglicher Art offen. Ich weiss, dass solche Themen schon wanders behandelt wurden, aber wiegesagt habe mit deen Hilfen nicht so wirklich etwas anfangen können. Beste Grüße Frostensen |
|
25.03.2005, 18:37
| #2 | |
  | Hilfe - TR/Phish.Bankfrd.U Bißchen komisch, findest Du nicht auch:
__________________Zitat:
Im abgesicherten Modus hilft das Logfile übrigens nicht weiter - und die Menge von Prozessen, die bei Dir läuft, kann aber wiederum nicht im abgesicherten Modus laufen.... cacatoa
__________________ |
|
25.03.2005, 19:01
| #3 |
| | Hilfe - TR/Phish.Bankfrd.U Also das Logfile habe ich tatsächsich im abgesicherten Modus erstellt. Dass AntiVir nicht am Start ist, da liegt daran, dass ich Ihn kurzfristig heruntergeschmissen habe, da er bei den ganzen Aktion mit den anderen Programmen immer wieder Alarm ausgab und die anderen Progs dadurch brintächtigt hat.
__________________Hier noch ein aktuelles logfile (im "Normalmodus): Logfile of HijackThis v1.99.1 Scan saved at 19:02:59, on 25.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Ahead\InCD\InCD.exe F:\Programme\Elaborate Bytes\CloneCD 4.202\CloneCD\CloneCDTray.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe F:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE f:\PROGRA~1\CLIPIN~1.50\Server\ClipInc-Server.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Opera7\opera.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\explorer.exe F:\Programme\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\1\PROGS\SPYBOT\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programme\Elaborate Bytes\CloneCD 4.202\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Elaborate Bytes\CloneCD 4.202\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Pocket Sheet Sync] C:\Programme\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{197AE0CE-7C42-404F-A393-3725750FECE6}: NameServer = 192.168.1.254 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - f:\PROGRA~1\CLIPIN~1.50\Server\ClipInc-Server.exe O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Wirk auf mich jedenfalls länger als das andere log.file. Aber weiter als vorher bin jetzt auch nicht!!! |
|
25.03.2005, 19:16
| #4 |
| | Hilfe - TR/Phish.Bankfrd.U Tja, so gehts los: Den da hast du drauf. Typisch für Kazaa ist auch der da Mich wundert nur, daß Kaspersky da nicht reagiert hat... Ich würde allerdings bei einem Troj, wie der erste es ist, und bei dem Durcheinander auf der Platte, meinen Rechner neu aufsetzen. Tipps dazu gibts hier. Nicht zu vergessen, daß Dein System nicht gepatcht ist.... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
25.03.2005, 22:26
| #5 |
| | Hilfe - TR/Phish.Bankfrd.U Das System ist nicht so wichtig, dass soll sowieso neu aufgesetzt werden. Mir ist nur wichtig, meine Mails auf meinen neuen Rechner rüberzukriegen. Ist das denn irgendwie möglich, denn der eine ist doch in meinem Posteingangsfach, oder? Wo sieht man denn im Zahlenmoloch die problematischen Dateien??? |
|
26.03.2005, 09:15
| #6 |
| | Hilfe - TR/Phish.Bankfrd.U Scanne mit Deinem Virenscanner die mails und brenn die unverseuchten auf CD.  cacatoa
__________________ --> Hilfe - TR/Phish.Bankfrd.U |
|
| Themen zu Hilfe - TR/Phish.Bankfrd.U |
| 1.exe, abgesicherten modus, ad-aware, adobe, antivir, bho, browser, computer, desktop, drivers, e-mails, excel, explorer, file, hijack, hijack this, hijackthis, internet, internet explorer, löschen, microsoft, nvcpl.dll, nvidia, programme, rundll, software, sun java, system, web.de, windows, windows xp |
Linear-Darstellung
