Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Ebay pishing trojaner

Ebay pishing trojaner


Plagegeister aller Art und deren Bekämpfung: Ebay pishing trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.06.2008, 09:24   #1
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Hallo Leute,

Kämpfe nun seit zwei Tagen mit demselben Virus.

Wenn ich den Internetexplorer aufmache und auf Ebay gehe kommt sobald ich mich einlogge eine andere Seite, wo steht mal soll seine Kreditkarteninfos eingeben. Dies ist ganz eindeutig eine Pishingnachricht. Ausserdem scheint der ganze PC etwas langsamer. Er hat auch schon einige male neugestartet ohne Grund.

Also alle anzeichen für einen Virus.

Ich habe alle mir nur erdenklichen Virenscanner ausprobiert: AVG, Kapersky Online scanner, Trendmicro Housecall und im moment läuft noch der MC Affee.
Ebenfalls habe ich die Spyware scanner ADAWARE und Spyware Doctor eingesetzt.
Ich habe zwar einige böse Cookies gefunden, ansonsten allerdings nichts.

Auch über Google konnte ich keine brauchbaren Hinweise für den Virus finden.

Hier die Webseite, die nach dem Einloggen bei Ebay angezeigt wird:

----------------------
URL:
https**://signin.ebay.com/ws/eBayISAPI.dll?co_partnerid=2&siteid=0&UsingSSL=1

Attention !!!

We have noticed an increasing fraudulent activity recently. In order to provide your security and protect you from fraudsters we have introduced a new system of identification that will help us to avoid any kind of fraud or unauthorised access.

Please enter as more information as possible to provide your complete identification and to activate all the features of the new system.

-----------------

Danach fragt er nach verschiedenen persönlichen und Kreditkarten Infos.

Das ganze passiert nur in Internetexplorer, nicht in Firefox.

Ich habe auch mit netstat erkannt, dass der Virus über services.exe verbindung zu einigen komischen chinesischen Servern aufnimmt.

Nun weis ich nicht was ich noch machen kann. Wäre froh wenn mir jemand hier im Forum weiterhelfen könnten.

Danke

Alt 04.06.2008, 09:43   #2
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Hi,

bitte ein HJ-Log gemäß der Signatur, Datfind (Neusten Dateien finden):
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) Datfindbat,
sowie ein dss-Scan:
Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

Hosts-File anzeigen:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

chris
__________________

__________________
Alt 04.06.2008, 12:29   #3
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Hi,

Danke für die schnelle Antwort, hier die Logfiles:

Hijack:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:28, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\6173\SAService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\PROGRA~1\mcafee\msc\mcshell.exe
C:\Programme\SiteAdvisor\6173\SiteAdv.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6173\SiteAdv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://conference.lrt.unibw-muenchen.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://193.72.209.147/comps/ticker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{501C42E5-35F5-49F8-9B7C-C0D7789941E3}: NameServer = 192.168.209.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0070011212564320) (0070011212564320mcinstcleanup) - McAfee, Inc. - C:\DOKUME~1\****~1.AMR\LOKALE~1\Temp\007001~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Programme\SiteAdvisor\6173\SAService.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 10509 bytes
Datefind:
Code:
ATTFilter
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von c:\

04.06.2008  11:31                 0 dirdat.txt
04.06.2008  09:07             1'440 TPHKLOCK.TXT
04.06.2008  09:06     2'137'436'160 hiberfil.sys
04.06.2008  09:06     2'145'386'496 pagefile.sys
03.06.2008  16:25            48'128 Datenauszug aus Dokument 'ipv6monl_dll...'.shs
03.06.2008  16:24       128'275'212 backup.reg

+ältere

              21 Datei(en) 11'451'925'120 Bytes
               0 Verzeichnis(se), 52'185'067'520 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\WINDOWS\system32

03.06.2008  11:53            90'128 perfc009.dat
03.06.2008  11:53           491'570 perfh009.dat
03.06.2008  11:53           534'874 perfh007.dat
03.06.2008  11:53           113'540 perfc007.dat
03.06.2008  11:53         1'246'616 PerfStringBackup.INI
02.06.2008  17:29             7'168 services.suo
02.06.2008  17:29               611 services.sln
02.06.2008  09:11             2'278 wpa.dbl
22.05.2008  09:06           298'048 FNTCACHE.DAT
21.05.2008  17:06           374'406 TZLog.log
09.05.2008  14:35        16'863'864 MRT.exe
25.03.2008  06:51           187'168 msjint40.dll
25.03.2008  06:51           621'344 mswstr10.dll
25.03.2008  06:50           355'104 msxbde40.dll
25.03.2008  06:50           838'432 mswdat10.dll
25.03.2008  06:50           264'992 mstext40.dll
25.03.2008  06:50           559'904 msrepl40.dll
25.03.2008  06:50           322'336 msrd3x40.dll
25.03.2008  06:50           432'928 msrd2x40.dll
25.03.2008  06:50           355'104 mspbde40.dll
25.03.2008  06:50           219'936 msltus40.dll
25.03.2008  06:50            60'192 msjter40.dll
25.03.2008  06:50           248'608 msjtes40.dll
25.03.2008  06:50           355'112 msjetoledb40.dll
25.03.2008  06:50         1'516'568 msjet40.dll
25.03.2008  06:50           326'432 msexcl40.dll
25.03.2008  06:50           518'944 msexch40.dll
20.03.2008  09:56         1'846'016 win32k.sys
01.03.2008  18:24         3'591'680 mshtml.dll
01.03.2008  14:54           826'368 wininet.dll
01.03.2008  14:54           233'472 webcheck.dll
01.03.2008  14:54           105'984 url.dll
01.03.2008  14:54            44'544 pngfilt.dll
01.03.2008  14:54         1'159'680 urlmon.dll
01.03.2008  14:54           102'912 occache.dll
01.03.2008  14:54           671'232 mstime.dll
01.03.2008  14:54           193'024 msrating.dll
01.03.2008  14:54           478'208 mshtmled.dll
01.03.2008  14:53           459'264 msfeeds.dll
01.03.2008  14:53            52'224 msfeedsbs.dll
01.03.2008  14:53         1'831'424 inetcpl.cpl
01.03.2008  14:53            27'648 jsproxy.dll
01.03.2008  14:53            44'544 iernonce.dll
01.03.2008  14:53           267'776 iertutil.dll
01.03.2008  14:53         6'066'176 ieframe.dll
01.03.2008  14:53           384'512 iedkcs32.dll
01.03.2008  14:53           133'120 extmgr.dll
01.03.2008  14:53           214'528 dxtrans.dll
01.03.2008  14:53           383'488 ieapfltr.dll
01.03.2008  14:53           153'088 ieakeng.dll
01.03.2008  14:53            63'488 icardie.dll
01.03.2008  14:53           230'400 ieaksie.dll
01.03.2008  14:53           124'928 advpack.dll
01.03.2008  14:53           347'136 dxtmsft.dll
+ältere
            2191 Datei(en)    438'765'951 Bytes
               0 Verzeichnis(se), 52'184'940'544 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\WINDOWS

04.06.2008  10:17         1'911'995 WindowsUpdate.log
04.06.2008  09:30         1'115'136 setupapi.log
04.06.2008  09:14         1'987'505 pfirewall.log
04.06.2008  09:08                 0 0.log
04.06.2008  09:07               159 wiadebug.log
04.06.2008  09:07                50 wiaservc.log
04.06.2008  09:07             2'048 bootstat.dat
03.06.2008  18:31            32'606 SchedLgU.Txt
03.06.2008  18:31            31'520 KB948881.log
03.06.2008  18:31            32'435 ocmsn.log
03.06.2008  18:31           202'043 comsetup.log
03.06.2008  18:31           123'955 ntdtcsetup.log
03.06.2008  18:31            28'973 tabletoc.log
03.06.2008  18:31           724'392 iis6.log
03.06.2008  18:31             1'355 imsins.log
03.06.2008  18:31           283'924 tsoc.log
03.06.2008  18:31            44'342 KB947864-IE7.log
03.06.2008  18:31           102'860 netfxocm.log
03.06.2008  18:31            30'018 msgsocm.log
03.06.2008  18:31            41'769 MedCtrOC.log
03.06.2008  18:31           306'266 ocgen.log
03.06.2008  18:31           573'351 FaxSetup.log
03.06.2008  18:31           194'132 msmqinst.log
03.06.2008  18:31            59'791 updspapi.log
03.06.2008  11:53             1'891 imsins.BAK
03.06.2008  11:16            10'898 KB947864-IE7Uninst.log
02.06.2008  13:08            16'161 KB932823-v3.log
21.05.2008  17:10            26'759 KB937894.log
21.05.2008  17:09            31'566 KB941644.log
21.05.2008  17:08            31'171 KB941693.log
21.05.2008  17:08            24'994 KB946026.log
21.05.2008  17:07            53'531 KB925720.log
21.05.2008  17:06            31'160 KB942763.log
21.05.2008  17:06            13'970 KB941569.log
21.05.2008  17:05            18'963 KB941568.log
21.05.2008  17:05            25'168 KB948590.log
21.05.2008  17:05            24'300 KB943485.log
21.05.2008  17:05            18'309 KB945553.log
21.05.2008  17:05            20'180 KB950749.log
21.05.2008  17:05            14'946 KB943055.log
21.05.2008  17:04            14'975 KB944653.log
05.05.2008  16:47            71'215 wmsetup.log
03.04.2008  17:50             6'741 Freecorder Toolbar Setup Log.txt
07.03.2008  10:53           217'509 setupact.log
05.03.2008  16:29               520 ODBC.INI
05.03.2008  16:28                63 vbaddin.ini
+ältere
             277 Datei(en)     54'145'026 Bytes
               0 Verzeichnis(se), 52'184'924'160 Bytes frei
 Datentr„ger in Laufwerk C: ist Preload
 Volumeseriennummer: CC9D-9786

 Verzeichnis von C:\DOKUME~1\*****~1.AMR\LOKALE~1\Temp

04.06.2008  11:30         1'458'176 ~DF2372.tmp
04.06.2008  10:20           153'852 ExchangePerflog_8484fa313f7eaa7dcfcccd43.dat
04.06.2008  09:25            32'077 Uninstall Log 2008-06-04 #001.txt
03.06.2008  17:50               657 QTInstallCode.log
03.06.2008  13:53                 0 xx2
03.06.2008  13:53                 0 xx5
03.06.2008  13:53                 0 xx4
03.06.2008  13:53                 0 xx3
03.06.2008  13:53                 0 xx6
03.06.2008  13:52             1'935 java_install_reg.log
03.06.2008  11:57            75'103 Setup Log 2008-06-03 #004.txt
03.06.2008  11:56           707'976 _iu14D2N.tmp
03.06.2008  11:05            31'849 Uninstall Log 2008-06-03 #002.txt
03.06.2008  10:58            91'006 avg8inst.log
03.06.2008  10:54            75'099 Setup Log 2008-06-03 #003.txt
03.06.2008  10:49             5'247 Setup Log 2008-06-03 #002.txt
03.06.2008  10:48            35'308 Uninstall Log 2008-06-03 #001.txt
03.06.2008  10:41            81'139 Setup Log 2008-06-03 #001.txt
02.06.2008  13:12                83 calog.txt
02.06.2008  10:23                81 dw.log
31.05.2008  13:09               127 D653F3EC.TMP
30.05.2008  16:59         2'675'362 Office SharePoint Server 2007 SDK 1.2 (0).log
30.05.2008  14:41                 3 Twain001.Mtx
30.05.2008  10:40               175 wecerr.txt
27.05.2008  17:47           262'448 P041QSHG.emf
27.05.2008  12:35           177'340 Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs (0).log
23.05.2008  17:20                 0 TWAIN.LOG
23.05.2008  16:59             3'734 msiutil(1).log
21.05.2008  12:24                 0 tmp23.tmp
21.05.2008  09:30             2'576 loader.log
20.05.2008  17:44           576'376 VGX242.tmp
07.04.2008  16:13         4'194'332 ExchangePerflog_8484fa313f7eaa7dc11c3815.dat
+ältere
              37 Datei(en)     18'762'360 Bytes
               0 Verzeichnis(se), 52'184'944'640 Bytes frei
__________________
Alt 04.06.2008, 12:31   #4
funkymotion
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Das sagt netstat, wenn die Pishingpage angezeigt wird:
Code:
ATTFilter
 TCP    NB-****:3559          dyn12-b57-access.superdsl.com.sg:http  WARTEND
  TCP    NB-****:3563          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3564          fc7208133.aspadmin.net:http  ZULETZT_ACK
  TCP    NB-****:3565          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3567          dyn12-b57-access.superdsl.com.sg:http  WARTEND
  TCP    NB-****:3569          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3571          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3576          fc7208133.aspadmin.net:http  ZULETZT_ACK
  TCP    NB-****:3579          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3581          AE22:epmap             HERGESTELLT
  TCP    NB-****:3582          AE22:1025              HERGESTELLT
  TCP    NB-****:3584          dyn12-b57-access.superdsl.com.sg:http  ZULETZT_A
CK
  TCP    NB-****:3588          dyn12-b57-access.superdsl.com.sg:http  HERGESTEL
LT
Hosts:
Code:
ATTFilter
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

DSS:
Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by **** on 2008-06-04 11:48:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as ****.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:40, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\6173\SAService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\SiteAdvisor\6173\SiteAdv.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Programme\Mindjet\MindManager Viewer 7\MindManagerViewer.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****.****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZCXV7ONZ\dss[1].exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\****.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6173\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6173\SiteAdv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2699250316-2010584827-2135633229-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://****.******.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://********/comps/ticker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{501C42E5-35F5-49F8-9B7C-C0D7789941E3}: NameServer = 192.168.209.22
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0070011212564320) (0070011212564320mcinstcleanup) - Unknown owner - C:\DOKUME~1\****~1.AMR\LOKALE~1\Temp\007001~1.EXE (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Programme\SiteAdvisor\6173\SAService.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 10607 bytes

-- Files created between 2008-05-04 and 2008-06-04 -----------------------------

2008-06-04 10:44:01         0 d-------- C:\Programme\Trend Micro
2008-06-04 09:27:27         0 d-------- C:\Programme\SiteAdvisor
2008-06-04 09:24:55         0 d-------- C:\Programme\McAfee.com
2008-06-04 09:24:51         0 d-------- C:\Programme\Gemeinsame Dateien\McAfee
2008-06-04 09:24:47         0 d-------- C:\WINDOWS\LastGood
2008-06-04 09:24:43         0 d-------- C:\Programme\McAfee
2008-06-03 16:24:20 128275212 --a------ C:\backup.reg
2008-05-30 16:48:23         0 d-------- C:\Xml
2008-05-30 16:48:23         0 d-------- C:\ProjectTemplates
2008-05-30 16:48:23         0 d-------- C:\Common7
2008-05-30 16:47:48         0 d-------- C:\Programme\2007 Office System Developer Resources
2008-05-30 16:47:46         0 d-------- C:\Programme\Common Files
2008-05-27 12:35:44         0 d-------- C:\Programme\MSECache
2008-05-13 15:56:02         0 d-------- C:\Programme\uTorrent


-- Find3M Report ---------------------------------------------------------------

2008-06-04 09:44:50         0 d-------- C:\Programme\Google
2008-06-04 09:33:55         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\SiteAdvisor
2008-06-04 09:24:51         0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-03 17:52:58         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-03 11:53:22    534874 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-03 11:53:22    113540 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-03 11:50:04         0 d-------- C:\Programme\Picasa2
2008-06-02 13:13:00         0 d-------- C:\Programme\Windows Live Toolbar
2008-06-02 13:07:18         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\uTorrent
2008-05-30 14:41:05         0 d-------- C:\Programme\Paint Shop Pro 5
2008-05-30 14:34:21         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Help
2008-05-21 11:32:06         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\TuneUp Software
2008-05-20 11:56:16         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Skype
2008-05-13 09:25:20         0 d-------- C:\Programme\Microsoft Silverlight
2008-04-29 17:59:05         0 d-------- C:\Programme\MP3 Player Utilities 3.57
2008-04-21 16:35:10         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Sibelius Software
2008-04-21 16:17:35         0 d-------- C:\Programme\PDFCreator
2008-04-21 12:02:36         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Sonic
2008-04-21 12:02:24         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Leadertech
2008-04-11 11:45:09         0 d-------- C:\Dokumente und Einstellungen\****.****\Anwendungsdaten\Adobe
2008-04-04 08:59:14         0 d-------- C:\Programme\WiredRed


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [07.02.2008 13:19]
"mcagent_exe"="C:\Programme\McAfee.com\Agent\mcagent.exe" [01.11.2007 19:12]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6173\SiteAdv.exe" [28.08.2007 22:07]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [05.02.2007 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 
C:\Programme\Lenovo\HOTKEY\notifyf2.dll 06.09.2006 09:37 34344 C:\Programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 
C:\Programme\Lenovo\HOTKEY\tphklock.dll 14.12.2006 04:06 28672 C:\Programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG]
rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
"C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
"C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
C:\WINDOWS\System32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY]
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrackPointSrv]
tp4serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy]
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

*Newly Created Service* - IPFILTERDRIVER
*Newly Created Service* - MCMSCSVC
*Newly Created Service* - MCNASVC
*Newly Created Service* - MCODS
*Newly Created Service* - MCPROXY
*Newly Created Service* - MCSHIELD
*Newly Created Service* - MCSYSMON
*Newly Created Service* - MFEAVFK
*Newly Created Service* - MFEBOPK
*Newly Created Service* - MFEHIDK
*Newly Created Service* - MFERKDK
*Newly Created Service* - MFESMFK
*Newly Created Service* - MPFP
*Newly Created Service* - SITEADVISOR_SERVICE



-- End of Deckard's System Scanner: finished at 2008-06-04 11:49:03 ------------
Geändert von funkymotion (04.06.2008 um 13:25 Uhr)

Alt 05.06.2008, 07:12   #5
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Hi,

hmm, unter Firefox funktioniert es, unter IE nicht;
Das erste was in's Auge fällt, sind die vielen 16-Einträge, die ich aber wegen Anomysierung nicht nachvollziehen kann, prüfe die ob Du alle kennst, bzw. nehme sie nacheinander raus...
Zitat:
O15 - Trusted Zone: h**p://sharepoint.****.local
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {395E58B9-090C-461A-8F27-087D1C727945} (Web Conferencing) - h**p://****.******.de/joinie.cab
O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - h**p://www.mindjet.com/viewer/eng/MjMmViewer.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - h**ps://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8B84E36B-7DEE-11D2-A457-0060976E5CAC} (ShowCal Control) - h**p://ae21/agendax/agenda/showcal.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3E12F51-0795-11D2-91CC-00C04FA31C90} (MS Investor Ticker) - h**p://********/comps/ticker.cab
chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.06.2008, 14:17   #6
Chris4You
 
Ebay pishing trojaner - Standard

Ebay pishing trojaner


Hi,

noch etwas zu dem Post unten:
SpywareBlaster
Verhindert die Installation zweifelhafter ActiveX-Controls....

chris
__________________
--> Ebay pishing trojaner

Antwort

Themen zu Ebay pishing trojaner
adaware, attention, avg, ebay, einloggen, erkannt, explorer, forum, google, help, karte, kreditkarte, netstat, online, pishing, scan, security, seite, server, services.exe, spyware, spyware doctor, system, trojane, trojaner, verbindung, virenscanner


« 'TR/Proxy.Ranky.JU' [trojan] Gefunden! Help! | IE und Firefox öffnert ständig Pop-Up Werbung »


Ähnliche Themen: Ebay pishing trojaner


  1. Ebay - Pishing
    Diskussionsforum - 17.05.2015 (1)
  2. zip-Anhang in Pishing-Mail geöffnet - Trojaner oder Virus auf meinem Laptop?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2014 (5)
  3. WIN 7,Trojaner Dofoil,Pishing beim Homebanking
    Lob, Kritik und Wünsche - 31.03.2014 (0)
  4. WIN 7,Trojaner Dofoil,Pishing beim Homebanking
    Log-Analyse und Auswertung - 31.03.2014 (13)
  5. Avast meldet Ebay-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (2)
  6. ebay trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (13)
  7. Ebay Trojaner und Avast
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (15)
  8. avast zeigt bei ebay trojaner an
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (7)
  9. Ebay Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (1)
  10. Ebay Trojaner Meldung durch Avast
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (9)
  11. Ebay Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.05.2013 (5)
  12. virus trojaner bei ebay und paypal
    Plagegeister aller Art und deren Bekämpfung - 08.09.2011 (3)
  13. Programm/Trojaner auf ebay Shop?
    Netzwerk und Hardware - 11.05.2007 (1)
  14. Ebay-Trojaner? MeinLogfile
    Log-Analyse und Auswertung - 03.10.2005 (3)
  15. Pishing-Mails von eBay
    Plagegeister aller Art und deren Bekämpfung - 14.05.2005 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Ebay pishing trojaner - Hallo Leute, Kämpfe nun seit zwei Tagen mit demselben Virus. Wenn ich den Internetexplorer aufmache und auf Ebay gehe kommt sobald ich mich einlogge eine andere Seite, wo steht mal - Ebay pishing trojaner...
Archiv
Du betrachtest: Ebay pishing trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27