| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: FTP Logindaten gestohlenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.07.2008, 15:52
| #1 |
 |  FTP Logindaten gestohlen Hallo! Ich habe Zugang zu mehreren FTPs. Die Zugangsdaten sind verschlüsselt im Total Commander gespeichert. Niemand hat Zugang zu meinem Rechner und die Daten habe ich nicht an Dritte weitergegeben. Seit dem 07.07.2008 kann sich nun jemand mit meinem Namen und Passwort einloggen. Es sind immer verschiedene Namen und Paswörter. Er besitzt die IP 209.160.22.98 ACHTUNG: Diese IP bitte nicht mit dem IE aufrufen. In einigen Index-Dateien wurde code eingefügt. Falls der benötigt wird poste ich ihn hier noch. Nun mein Problem: AntiVir findet nichts. HiJackthis findet auch alles okay. Malwarebytes Anti-Malware findet: C:\Programme\Internet Explorer\SETUPAPI.DLL (Trojan.BHO) -> No action taken. Womit kann ich noch scannen? Mein BS: Windows XP SP3 Danke, Chris |
|
23.07.2008, 16:35
| #2 |
| Gast | FTP Logindaten gestohlen *hust* myXOOPS.org - Fremder Code in der index.php [Forum - Sicherheit von XOOPS] *hust*
__________________Da sind schonmal viele Antworten. Wenn man dann außerdem mal die IP googled, kommen ziemlich Aufschlussreiche Ergebnisse.. EDIT: Hab die IP eben abgesichert mit dem IE7 aufgerufen, die Seite sieht nicht verseucht aus, da steht nur "Apache is functioning normally" |
|
23.07.2008, 17:16
| #3 | |
| /// Helfer-Team    | FTP Logindaten gestohlen Hi,
__________________Zitat:
Nachdem ich diesen Server aber nicht über seine IP sondern mit einem auf ihn zeigenden Domainnamen angesteuert habe, bekam ich auch prompt ein Javascript geliefert dass einen Iframe entschlüsselt und dann ins Dokument schreibt, der wiederum auf eine andere Seite zeigt, wo es dann einen Exploit gibt. Irgendwie egal, die sind international tätig und wir werden sie sowieso nicht stoppen können. Die haben mit Sicherheit schon mehrere Server in mehreren anderen Ländern als Ausweichquartiere. Bleibt also die Frage, wie sie zu dem FTP kommen. Da tippe ich erstmal auf den Computer, von dem aus die FTP-Passwörter benutzt wurden. Also mal mit einem HijackThis anfangen und dann weitersehen. Gruß, Karl |
|
23.07.2008, 18:06
| #4 |
| | FTP Logindaten gestohlen Hallo! Erstmal danke für eure Antworten. Ich habe nun alle Rechner mit Malwarebytes Anti-Malware gecheckt. Rechner 1: Infizierte Dateien: C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully. Rechner 2: Infizierte Dateien: C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully. Rechner 3: Sauber Nun zu HiJackThis: Rechner 1: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:52:25, on 23.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20815) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\svchost.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINXP\system32\RUNDLL32.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Motherboard Monitor 5\DLL\display.dll C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\svchost.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\totalcmd\TOTALCMD.EXE C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?') O4 - HKUS\S-1-5-21-436374069-861567501-725345543-1003\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E10B66B7-E492-41C6-B095-995C7AAB9BA7}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: hpdj - HP - C:\DOKUME~1\xp-2200\LOKALE~1\Temp\hpdj.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 6708 bytes HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:59:36, on 23.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Motherboard Monitor 5\DLL\display.dll C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\emule\emule.exe C:\Programme\Mozilla Firefox\firefox.exe C:\wincmd\TOTALCMD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166963550852 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166963528299 O17 - HKLM\System\CCS\Services\Tcpip\..\{779AEB26-8E88-4F85-BF3B-BB3A7A05B711}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe -- End of file - 4418 bytes HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:00:04, on 23.07.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC6B9C5-1F0E-4183-876E-BC185A79890E}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\FileZillaFTP\FileZillaServer.exe (file missing) -- End of file - 3660 bytes |
|
23.07.2008, 20:22
| #5 |
| /// Helfer-Team | FTP Logindaten gestohlen Direkte Infektionen sind zwar auf keinem System zu sehen, aber:
Aber zumindest Sachen wie ntos.exe sind nirgendwo erkennbar. Die war nämlich schon öfter der Grund für einen verratenen FTP-Zugang. |
|
24.07.2008, 06:57
| #6 |
| | FTP Logindaten gestohlen Hallo! Dann hat sich der Dieb die Daten schon vor Monaten geholt? Das aktuelle System läuft seit dem 07.04.2008. Nur von diesem Rechner nutze ich die FTP-Verbindung. Hat denn der Dieb meine Eingaben geloggt, oder wie kommt der an diese Daten. Im Total Commander gebe ich es ja nicht per Hand ein, sondern klicke auf eine FTP-Verbindung. Die Daten dazu sind verschlüsselt in einer Datei im Windows-Verzeichnis. Gruß, Chris
__________________ --> FTP Logindaten gestohlen |
|
24.07.2008, 17:29
| #7 |
| | FTP Logindaten gestohlen Hallo! Ich habe nochmal mit AntiVir gescannt. Dies ist der Rechner mit XP SP3. HTML-Code: Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xp-2200\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\514ba913-2ac11405
[0] Archivtyp: ZIP
--> MagicApplet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
--> OwnClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify
--> ProxyClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
--> Installer.class
[FUND] Ist das Trojanische Pferd TR/Dldr.Java.OpenConnection.AO
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\Mozilla Firefox\SETUPAPI.DLL1
[FUND] Ist das Trojanische Pferd TR/Agent.9728.A
[HINWEIS] Die Datei wurde gelöscht.
C:\WINXP\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP121\A0020017.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' Gruß, Chris |
|
24.07.2008, 20:56
| #8 |
| | FTP Logindaten gestohlen Hallo! Hier das Ergebnis von eScan. HTML-Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
eScan Version: 9.9.7
Sprache: German
C:\DOKUME~1\xp-2200\LOKALE~1\Temp\MWAV.LOG
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\UltraVNC\vncviewer.exe markiert als "not-a-virus:RemoteAdmin.Win32.WinVNC.1102". Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Aktuelle Seiten\Personalbit (25.05.2008)\personalbit\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (08.06.2007) XOOPS\uploads\meine_bilder.zip/Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Meine bilder.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\System Volume Information\_restore{A8CADA0A-B6FB-4069-9BD3-60139AA95C95}\RP75\A0013804.exe markiert als "not-virus:BadJoke.Win32.Badgame". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe
Offending file found: C:\WINXP\system32\unrar.dll
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
MicroWorld AntiVirus und Antispyware Toolkit.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
MicroWorld AntiVirus und Antispyware Toolkit.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\xp-2200\LOKALE~1\Temp\spydb.avs, Size: 839103].
Indexed Spyware Databases Successfully Created...
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9bd3a001-42a2-491e-aaca-9512f6cf4cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{c5da1f2b-b2bf-4dfc-bc9a-439133543a67})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{d2129738-6a78-4bcb-915a-412982caa23d})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{dc90eaa6-69b8-4de4-9a7b-5b2c5b3feacd})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1edfd7df-030d-4144-952e-9d7d86691cdb})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459a91bc-193f-4a70-959c-bff69d781142})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464d3e06-7d5b-416f-a6ee-0ffb1a5e931b})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497b84d4-fb2f-4ab0-a280-8aacfb4b355f})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718b8e-a382-4fe2-aa7a-926f9d8c4621})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{bc39a57d-df2c-45b4-bffd-7d55e911c1b2})! Action taken: Keine Maßnahme ergriffen.
System found infected with parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{cca2e620-b807-451f-bafd-2057af9025fe})! Action taken: Keine Maßnahme ergriffen.
System found infected with lop.com Spyware/Adware (1111.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with cybersitter Spyware/Adware (hklm\software\mimarsinan)! Action taken: Keine Maßnahme ergriffen.
System found infected with savenow Adware (C:\WINXP\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{313b688c-09e2-11dd-a259-000b6a0874bb} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINXP\system32\services.exe
lsass.exe - C:\WINXP\system32\lsass.exe
svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
vsmon.exe - C:\WINXP\system32\ZoneLabs\vsmon.exe -service
explorer.exe - C:\WINXP\Explorer.EXE
cmd.exe - cmd /c ""D:\Download\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Programme\Unknown Device Identifier\gwiopm.sys in SYSTEM\CurrentControlSet\Services\gwiopm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry SYSTEM32\DRIVERS\PTIUSBF.SYS in SYSTEM\CurrentControlSet\Services\ptiusbf. Action Taken: No Action Taken.
ERROR!!! ScanFile Fails for C:\WINXP\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry system32\DRIVERS\vmnetadapter.sys in SYSTEM\CurrentControlSet\Services\VMnetAdapter. Action Taken: No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_Multimedia_Factory_2_0.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Nokia_PC_Suite_rel_6_86_9_0_ger.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\Patcher1540\ZippedStagingArea\PatchFiles.zip
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Virtual_PC_2007_Install.msi
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{0FC76~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{29466~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\INSTAL~1\{4CFB3~1\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\DERLOR~1
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Inbox
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\PERSON~1
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Sent
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\ANWEND~1\THUNDE~1\Profiles\MPTEOX~1.DEF\Mail\LOCALF~1\Trash
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~2.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\NOKIA_~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\Patcher\PATCHE~4\ZIPPED~1\PATCHF~1.ZIP
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\Temp\VIRTUA~1.MSI
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\LOKALE~1\TEMPOR~1\Content.IE5\2E0F77T6\ZLSSET~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\xp-2200\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\Adobe\READER~1.0\SETUPF~1\{AC76B~1\ADBERD~1.MSI
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\VBA\VBA6\1031\VBLR6.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\OWCVBA10.CHM
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\ACMAIN10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\HTMLREF.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAAC10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAPP10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAWD10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\VBAXL10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~1\Office10\1031\XLMAIN10.CHM
ERROR!!! ScanFile fails for C:\Programme\Steinberg\WaveLab\Help\English\WaveLab.chm
ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP85\A0015310.msi
ERROR!!! ScanFile fails for C:\WINXP\$NtServicePackUninstall$\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINXP\Help\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\ServicePackFiles\i386\apps_sp.chm
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default
ERROR!!! ScanFile fails for C:\WINXP\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software
ERROR!!! ScanFile fails for C:\WINXP\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system
ERROR!!! ScanFile fails for C:\WINXP\system32\config\system.LOG
ERROR!!! ScanFile fails for C:\WINXP\system32\drivers\sptd.sys
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\PHP&HT~1\XAMPP-~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F8D~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US1F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\USR_WE~2.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US2F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US3F8D~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\DATENB~1\US40B6~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\backup\US3F85~1.GZ
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\AKTUEL~1\PERSON~1.200\PERSON~1\MYSQLD~1\work\log\MYSQLD~3.GZ
Result: ERROR!!! File D:\Documente\Internet\Webseiten\Eigene\Alte Seiten\PersonalBit (24.09.2006) PHPKIT\content\download\Ad-Aware 1.06.zip: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\AD-AWA~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\Internet\WEBSEI~1\Eigene\ALTESE~1\PERSON~1.200\content\download\TV-BRO~1.ZIP
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\DERLOR~1
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Inbox
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\PERSON~1
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Sent
ERROR!!! ScanFile fails for D:\DOCUME~1\SICHER~1\THUNDE~1\DOKUME~1\Xp2200\ANWEND~1\THUNDE~1\Profiles\300WAW~1.DEF\Mail\LOCALF~1\Trash
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Autostart CD mit Menue\autorun.apm: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\AUTOST~1\autorun.apm
Result: ERROR!!! File D:\Documente\Sonstiges\Eigene Programme\Hardcore-Video-Multi-Player (9 Videos)\autorun.apm: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\DOCUME~1\SONSTI~1\EIGENE~1\HARDCO~1\autorun.apm
ERROR!!! ScanFile fails for D:\Download\Firefox_Setup_3.0_RC_1.exe
Result: ERROR!!! File D:\Download\klcodec395f.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for D:\Download\klcodec395f.exe
ERROR!!! ScanFile fails for D:\Download\mwav.exe
ERROR!!! ScanFile fails for D:\SYSTEM~1\_RESTO~1\RP91\A0016274.exe
ERROR!!! ScanFile fails for E:\PC-PRO~1\MSUPDA~1\WI29E7~1.EXE
ERROR!!! ScanFile fails for E:\PC-PRO~1\PROGRA~1\Setup\PORTAB~1.0(F\PORTAB~1.EXE
Result: ERROR!!! File E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for E:\PC-Programme\Treiber\Sonstige\klmcodec385.exe
ERROR!!! ScanFile fails for E:\PC-PRO~1\Treiber\XP2200~1\16921_~1.EXE
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINXP\System32\drivers\etc\hosts:
C:\WINXP\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 192881
Zahl der kritischen Objekte: 21
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 68
Zeit verstrichen: 02:35:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
Batchstart: 21:45:35,90
Batchende: 21:45:44,95 |
|
24.07.2008, 22:22
| #9 | |
| /// Helfer-Team | FTP Logindaten gestohlen Relevant für dein Problem finde ich diese Funde nicht. Bei Escann kommt hinzu, dass das Programm mit Fehlalarmen um sich schmeißt. Bei den Dateien unterhalb von D:\Documente\Internet\Webseiten\Eigene wirst Du vermutlich besser wissen können, wie verdächtig sie sind. Aber selbst wenn: "not-virus:BadJoke.Win32.Badgame" ist eben kein Virus sondern nur ein schlechter Scherz. Dann ein Hinweis auf diese Software. Bei denen hier werde ich schon wieder richtig sauer und verfluche Escann: Zitat:
Die ist eventuell noch interessant: C:\Dokumente und Einstellungen\xp-2200\Lokale Einstellungen\temp\patcher\patcher3328\stagingarea\1111.exe, ich vermute aber auch einen Fehlalarm. Alles was Escann als "offending" meldet wird einfach gemeldet, weil es einen bestimmten Namen hat, ohne dabei auch nur zu berücksichtigen, in welchen Verzeichnis der Name auftritt. Für einen genaueren Check einer Datei bietet sich immer VirusTotal an. Ich fürchte, dass es darauf hinauslaufen wird, erstmal zu beobachten, ob es zu weiteren unautorisierten Zugriffen auf die Seiten kommt (alle Zugriffsdaten sind ja geändert). Wenn nicht, wird die Ursache ungeklärt bleiben, aber immerhin ist das Problem auch weg. wenn Du ganz gründlich sein willst, dann setzt du ein System neu auf um es in Zukunft nur für solche Sachen zu nutzen. Alternativ ein System das von CD startet. Wie sicher die im Total Commander gespeicherten Passwörter sind, habe ich keine Ahnung. Aber beachte, dass es z.B. diese Software gibt. Da kommen mir gewisse Zweifel. |
|
24.07.2008, 22:42
| #10 | |
| | FTP Logindaten gestohlenZitat:
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
| Themen zu FTP Logindaten gestohlen |
| achtung, anti-malware, aufrufe, benötigt, code, daten, explorer, ftp, interne, internet, internet explorer, mehrere, namen, passwort, poste, problem, programme, scan, scanne, scannen, sp3, total, total commander, trojan.bho, verschiedene, windows, windows xp, windows xp sp3, xp sp3, zugang |
Linear-Darstellung
