| |
| |||||||
Log-Analyse und Auswertung: PAYPAL PishingWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
03.03.2008, 03:03
| #1 |
 |  PAYPAL Pishing Hi ! Hier kurz die vorgeschichte: email von "Paypal" bekommen. sollte meinen account aus sicherheitsgründen verifizieren, hab den link auf seine richtigkeit überprüft und geklickt. wurde aber auf ne seite mit irgendner co.uk endung umgeleitet. hab die seite noch während sie sich aufgebaut hat weggeklickt und anschließend sofort anti vir + spybot durchlaufen lassen, beider sogar nochmal upgedatet vorher. e mail hatte ich allerdings zu diesem zeitpunkt noch nicht gelöscht. hab später irgendwann rebootet und dann kam nach ner zeit ein icq update (??) da ich antivir guard sowie resident laufen hatte dachte ich mir kann ja nix passieren. hab ne systemdateien änderung durch spybot nich zugelassen. dann is auf einmal noch ein anti vir update fenster gekommen ,auch richtig gut gefaket, sowie auch die vermeindliche paypal mail sowie das icq update .. hab daraufhin jetzt 3 mal versuht spybot laufen zu lassen , aber der computer rebootet einfach während des scans !! Logfile of HijackThis v1.99.1 Scan saved at 02:34:34, on 03.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\PowerKey.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\OSDCtrl.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Alice\Signup\AliceCnn.exe D:\U B E R O r d n e R !\lowkickinneeier.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
|
03.03.2008, 03:06
| #2 | |
| /// TB-Ausbilder     | PAYPAL Pishing Hi,
__________________na du machst Sachen.  Irgendwas sagt mir, dass das hier normalerweise nicht auf deinem Rechner laufen sollte: Zitat:
Ich würd sicherheitshalber vorerst kein Onlinebanking/Paypal/etc mehr auf diesem Rechner durchführen. Wenn du einen weiteren (sauberen) Rechner hast, von diesem aus bitte die Passwörter ändern. Vor dem nächsten Scan bitte folgendes tun: Start->Systemsteuerung->System->Erweitert->bei Start und Wiederherstellung auf Einstellungen klicken->Den Haken bei "automatischen NEustart durchführen" rausnehmen. Dann sollte beim nächsten Neustart eine Meldung erscheinen, wieso der Rechner neugestartet wird. Diese bitte abschrieben und heir posten. lg myrtille |
|
03.03.2008, 03:10
| #3 |
| | PAYPAL Pishing hehe, so hab ich die hijack logfile genannt
__________________ man kann ja nie wissen.. ääh. ne die hijackthis.exe is das ^^ ok, scan läuft! fett das du so schnell parat bist !! :-) Geändert von JoKer83 (03.03.2008 um 03:15 Uhr) |
|
03.03.2008, 03:16
| #4 |
| /// TB-Ausbilder | PAYPAL Pishing I see. Da ich eben munter während deiner Antwort editiert hab, poste ichs nochmal, damit du nichts überliest: Ich würd sicherheitshalber vorerst kein Onlinebanking/Paypal/etc mehr auf diesem Rechner durchführen. Wenn du einen weiteren (sauberen) Rechner hast, von diesem aus bitte die Passwörter ändern. Vor dem nächsten Scan bitte folgendes tun: Start->Systemsteuerung->System->Erweitert->bei Start und Wiederherstellung auf Einstellungen klicken->Den Haken bei "automatischen NEustart durchführen" rausnehmen. Dann sollte beim nächsten Neustart eine Meldung erscheinen, wieso der Rechner neugestartet wird. Diese bitte abschrieben und heir posten. Ansonsten bitte noch Logs mit folgenden Programmen durchführen: * Blacklightlg myrtille |
|
03.03.2008, 03:21
| #5 |
| | PAYPAL Pishing wieso läuft das obwohl ich den IE nie benutz ?? R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82 und was hats damit auf sich ??? |
|
03.03.2008, 03:27
| #6 | |||
| /// TB-Ausbilder | PAYPAL PishingZitat:
Zitat:
Zitat:
 Einige Infos kann man zb hier finden: klick |
|
03.03.2008, 03:29
| #7 |
| | PAYPAL Pishing 03/03/08 03:26:15 [Info]: BlackLight Engine 1.0.67 initialized 03/03/08 03:26:15 [Info]: OS: 5.1 build 2600 (Service Pack 2) 03/03/08 03:26:17 [Note]: 7019 4 03/03/08 03:26:17 [Note]: 7005 0 03/03/08 03:26:24 [Note]: 7006 0 03/03/08 03:26:24 [Note]: 7011 1788 03/03/08 03:26:25 [Note]: 7026 0 03/03/08 03:26:25 [Note]: 7026 0 03/03/08 03:26:28 [Note]: FSRAW library version 1.7.1024 03/03/08 03:27:32 [Note]: 2000 1012 03/03/08 03:27:32 [Note]: 2000 1012 03/03/08 03:27:32 [Note]: 2000 1012 03/03/08 03:27:32 [Note]: 2000 1012 "Silent Runners.vbs", revision 56, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "PowerKey" = ""C:\Programme\Launch Manager\PowerKey.exe"" [empty string] "LManager" = "C:\Programme\Launch Manager\HotkeyApp.exe" ["Wistron"] "CtrlVol" = "C:\Programme\Launch Manager\CtrlVol.exe" ["Wistron"] "LMgrOSD" = "C:\Programme\Launch Manager\OSDCtrl.exe" [empty string] "Wbutton" = ""C:\Programme\Launch Manager\Wbutton.exe"" [empty string] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Pj\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClick.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."] Broadcom Wireless LAN Tray Service, wltrysvc, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} ---------- (launch time: 2008-03-03 03:30:40) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 255 seconds, including 18 seconds for message boxes) Nach dem neustart durch combofix is ne spybot registrierungsdatenbanksänderungsversuchmeldung ( ) gekommen. Geändert von JoKer83 (03.03.2008 um 04:08 Uhr) |
|
03.03.2008, 03:41
| #8 |
| | PAYPAL Pishing JA! Mit SICHERHEIT !! 4 oder 5 mal rebootet er und jetzt wo ich diese option umgestellt habe nicht mehr ?! pfff |
|
| Themen zu PAYPAL Pishing |
| antivir, antivir guard, auf einmal, aus sicherheitsgründen, avira, bho, bonjour, computer, explorer, hijack, hijackthis, icq, internet, internet explorer, launch, link, microsoft, pishing, programme, seite, sicherheitsgründe, sicherheitsgründen, software, system32, tuneup.defrag, unknown file in winsock lsp, update, windows, windows xp, winsock, wireless, wireless lan, änderung |
Hybrid-Darstellung
