Hallo,

ich hab mir anscheinend meinen PC ziemlich vermurkst...

Dass etwas nicht stimmt, hab ich erstmals bemerkt, als mein McAfee AntiVirus nicht mehr lief, aber ich hab dem Ganzen wenig Bedeutung zugemessen.

Nachdem ich von meiner Bank den Hinweis bekommen habe, dass meine PIN und meine TAN's auf einem ausländischen Server gefunden wurden, hab ich mich damit näher beschäftigt.

Ich hab AntiVir Personal, Spybot, AdAware Personal und F-Secure BlackLight Beta installiert und konnte danach wenigstens wieder meinen McAfee wieder laufen lassen.

Die Tools haben ein paar Trojaner gefunden, die ich alle gelöscht habe. Nun würde mich interessieren, ob allles weg ist. Hier mein Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:55, on 08.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\Programme\online\FRITZ!DSL\Awatch.exe
C:\Programme\downloads\NetLimiter\NetLimiter.exe
C:\Programme\Utilities\DU Meter\DUMeter.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
c:\programme\mcafee.com\agent\mcdetect.exe
C:\Programme\AntiSpy\Spybot - Search & Destroy\TeaTimer.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\online\1 und 1 Profi-Dialer\ProfiDialer.exe
C:\Programme\downloads\FlashGet\flashget.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
C:\Programme\Security\Steganos Security Suite 6\sss.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools\HiJackThis_HijackThis 1.99.1eng\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\AntiSpy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\DOWNLO~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\DOWNLO~1\FlashGet\fgiebar.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\online\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\downloads\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [DU Meter] C:\Programme\Utilities\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\AntiSpy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\downloads\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\downloads\Offline Explorer Enterprise\Add_AllO.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\downloads\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\downloads\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\downloads\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\DOWNLO~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\DOWNLO~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: http://www.augsburger-allgemeine.de
O15 - Trusted Zone: http://www.nuz.de
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90441AC3-6E0B-4D0D-A00A-E6FC0F8D6028}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.188 217.237.150.97
O20 - Winlogon Notify: dxtpdx - dxtpdx.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zu bemerken ist noch, dass mein PC heute morgen für alles unendlich lange gebraucht hat, während jetzt wieder alles läuft.

Kann mir jemand helfen?

Danke schonmal!

StephanD

Hallo,

gibt es einen vernünftigen Grund, warum SP 2 sowie die nötigen Updates nicht Installiert sind?

Zitat:

Zitat von StephanD

Logfile of HijackThis v1.99.1
Scan saved at 16:26:55, on 08.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wie bzw. was wurde bei Dir gefunden? Meldungen der Programme!
Wenn Deine Daten auf einem anderen Server gefunden wurden, kannst du davon ausgehen, das du mind. einen Backdoor auf Deinem System hast/hattest. Dieser macht ein Neuaufsetzen unumgänglich!
Was er anstellen kann, hast du ja schon von Deiner Bank erfahren!

Gruß Mellosun


EDIT: O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
Dein System wurde definitiv kompromittiert, deshalb nicht mehr Vertrauenswürdeig ( was es ja auch schon nicht mehr war). Neuaufsetzen laut Anleitung in meiner SIG!

Zitat:

Nachdem ich von meiner Bank den Hinweis bekommen habe, dass meine PIN und meine TAN's auf einem ausländischen Server gefunden wurden

Wie meinst du das?

Zitat:

Zitat von Call me Al

Wie meinst du das?

Ganz einfach, ich habe einen Anruf meiner Bank bekommen, dass meine PIN und ein paar TANs auf einem Server im Ausland gefunden wurden, auf dem auch Homebanking-Daten anderer User waren. Mein Banker meinte, dass ein Trojaner (er tippte auf Goldun, den ich aber nicht auf meinem System gefunden habe) die Daten beim Eintippen abgegriffen und verschickt hat. Das passt auch dazu, dass ich weder PIN noch TANs auf meinem PC gespeichert hatte, sondern die immer manuell eingegeben habe. Und dabei ist mir aufgefallen, dass ab und zu eine TAN als ungültig bezeichnet wurde, obwohl sie ok gewesen sein müßte.

Zitat:

Zitat von Mellosun

Wenn Deine Daten auf einem anderen Server gefunden wurden, kannst du davon ausgehen, das du mind. einen Backdoor auf Deinem System hast/hattest.

Mein Banker und ich hatten eher auf einen Logger+Trojaner getippt, was viellicht nicht ganz so schlimm wäre, oder?

Zitat:

Zitat von Mellosun

gibt es einen vernünftigen Grund, warum SP 2 sowie die nötigen Updates nicht Installiert sind?

Aus heutiger Sicht war der Grund eher unvernünftig: Ich hatte nie Probleme und hab mich deshalb an die Devise "Never change a running System" gehalten...

Zitat:

Zitat von Mellosun

Wie bzw. was wurde bei Dir gefunden? Meldungen der Programme!

Ich hab mir Folgende notiert:

BDS/Delf.ach
TR/PSW.PdPi.CT.1.D
TR/PSW.Sinowal.AA4
TR/Dldr.small.cxx.6
TR/Dldr.Zlob.VW2
TR/PSW.Sinowal.D.3
TR/PSW.Sinowal.D.32
TR/PSW.Sinowal.AA7
BDS/VB.ASY.4
BDS/Haxdoor.HN
TR/Dldr.Ist.Bar.nj.1
TR/Dldr.Istbur.NK2
TR/VB.ejn
TR/Flood.ToolzY2k.a
TR/PSW/PdPiCT.1.D
BDS/Haxdoor.JC
BDS/Optix.Pro.132
Logger.Delf.ih

Ich weiß aber nicht so genau, ob die Aufstellung vollständig ist und ob sich da die Virenscanner nicht gegenseitig in die Quere gekommen sind. Meldungen bekomme ich jetzt von McAffee und AntiVir jedenfalls keine mehr.

Zitat:

Zitat von Mellosun

O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
Dein System wurde definitiv kompromittiert, deshalb nicht mehr Vertrauenswürdeig ( was es ja auch schon nicht mehr war). Neuaufsetzen laut Anleitung in meiner SIG!

Was ist denn das für ein Teil? Ich habe darüber nix gefunden.

Und komme ich nicht doch irgendwie um das Neuaufsetzen rum? Mir grauts vor der Arbeit...

Danke für deine bisherige Hilfe!

StephanD

also das macht mir jetzt angst....ich komme seit heute nicht mehr in mein online banking rein, obwohl mein pw 100% richtig eingegeben wurde....

ich habe auch durch antivir andauernd die fehlermeldung mit TR/PSW.PdPi.CT.1.D und soner dxtpdx.dll datei die aber scheinbar nich löschbar ist weil sie zu windows gehört...

hilft da nur format c: ?

Zitat:

Zitat von LoL

ich habe auch durch antivir andauernd die fehlermeldung mit TR/PSW.PdPi.CT.1.D und soner dxtpdx.dll datei die aber scheinbar nich löschbar ist weil sie zu windows gehört...

hilft da nur format c: ?

Ja, halte dich an die Anleitung im Anleitungsforum. Danach Passwörter ändern.

dxtpdx.dll=Haxdoor lt. Google.

Ausserdem so schnell wie möglich bei der Bank anrufen, um von Dritten evtl. bereits eingegebene Überweisungen aufzuhalten (das geht, solange die Überweisung bzw. das Geld noch nicht deine Bank verlassen hat!) und den Online-Banking-Zugang zu sperren.

Gruß
Yopie

bei Antivir TR/PSW.Sinowal.D.3(2)
bei Spybot S&D Torpig
bei mir das selbe.

Postbank.de normal angemeldet und kontonummer und pin eingegeben.
dannach die nächste seite.
bitte geben sie 10 ungenutzte tans mit nummer ein.
Da machte es klick im kopf das passt so nicht.
ich hab noch zur sicherheit die postbank sicherheits nummer angerufen. Und der Herr am telefon meinte trojaner befall.

Antivir bekommt die ibm00002.dll nicht gelöscht da sie sich sorfort neu schreibt.
der pc wurde auch so gut wie nie geupdatet da er nur sehr selten von meiner freundin benutzt wird.

mfg phoenor

Zitat:

Zitat von phoenor

Postbank.de normal angemeldet und kontonummer und pin eingegeben.
dannach die nächste seite.
bitte geben sie 10 ungenutzte tans mit nummer ein.

@all

Hatte vor ein paar Monaten auch ein ähnliches Problem mit dem Postbank Online Banking, zumal bei mir schon auf der "Login Seite" die Aufforderung zur Eingabe einer TAN erschien.

Was mir an der ganzen Sache auffällt, ist das es immer wieder Probleme beim Online Banking mit der Postbank gibt. Das ist in meinen Augen nicht normal, da nun jede Bank einen anderen Login benutzt und zusätzlich sich anders absichert!
Stellt sich bei mir nun die Frage, warum immer die POSTBANK, bzw. warum ist dieses Login so leicht angreifbar?
Es gibt ja nun viele Möglichkeiten Daten auszuspähen, und leider fallen die Leute immer wieder auf diverse "Pfishing-Mails" rein (selber Schuld!), doch bei der Postbank geht es nicht um diese Art, sondern eigentlich um viel viel mehr...

(wahrscheinlich bezahlt die Postbank irgendwelche CRACKER um Kunden abzuwerben, weil sie es sich nicht mehr leisten können soviele "kostenlose Girokonten" zur Verfügung zu stellen )+

Gruß
Sunny