Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FTP Passwörter ausgespäht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.09.2008, 14:55   #1
blood_on_ice
 
FTP Passwörter ausgespäht - Standard

FTP Passwörter ausgespäht



Guten Tag,

Hatte vor ca. einem halbem Jahr das Problem, dass sämtliche Seiten, welche ich betreue, mit einem Trojaner infiziert wurden. Daraufhin wurde mir mitgeteilt, dass wahrscheinlich ein Trojaner meine FTP-Passwörter ausgespäht hat.

Danach habe ich von einer anderen Workstation aus, sämtliche Passwörter gewechselt und meinen PC neu aufgesetzt.

Nun habe ich wieder dasselbe Problem, bereits ist ein Teil meiner Seiten wieder angegriffen worden. Wie kann das möglich sein?!? Habe mein System mit ADAware, Spybot und Antivir (Personal Edition, nicht die freeware) überprüft und gescannt. Er findet absolut nichts. Bei meinem Browser habe ich eingestellt, dass er sämtliche temporären Dateien bei jedem Beenden des Browsers löscht. Seit dem Angriff speichere ich nirgends mehr Passwörter auf dem System (nicht in Firefox, nicht in Total Commander, welchen ich als FTP-Programm benutze). An den Seiten selber kann es nicht liegen (laut hoster), ist auch kein cms drauf oder so.

Wie kann das möglich sein? Andere Frage, wie kann ich 100 % sicher gehen, dass kein Trojaner oder ähnliches mein System jetzt noch ausspäht?

Wäre wirklich froh wenn ihr mir helfen könntet, danke schonmal im Voraus.

PS: Logfile wäre hier...

Gruss,
Peter

Alt 30.09.2008, 14:58   #2
blood_on_ice
 
FTP Passwörter ausgespäht - Standard

Logfile Auswertung



Guten Tag,

habe hier:
http://www.trojaner-board.de/60980-f...tml#post378364

mein Problem erläutert, das zugehörige HijackThis Logfile folgt unten.

Wäre genial wenn ihr mir sagen könntet, ob da alles ok ist.

gruss,
Peter

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:45:40, on 30.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\peach\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Lavasoft\Ad-Aware\Ad-Watch.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\peach\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7420 bytes
__________________


Geändert von blood_on_ice (30.09.2008 um 15:08 Uhr)

Alt 30.09.2008, 15:52   #3
ALCA
 
FTP Passwörter ausgespäht - Standard

FTP Passwörter ausgespäht



Hallo Peter

Lass dir doch mal vom Hoster die FTP-Logs vom Zeitraum der Webseiten-Änderung geben.

Mit diesen Angaben kann man schauen, von wo der Zugriff kam und teilweise auch wie.

Gruss
ALCA
__________________

Alt 30.09.2008, 18:08   #4
blood_on_ice
 
FTP Passwörter ausgespäht - Standard

FTP Passwörter ausgespäht



Danke erstmal für die Antwort. Die Webseiten-Logs zum Angriffs-Zeitpunkt sind leider scheinbar nicht mehr vorhanden, da der Angriff scheinbar schon vor längerer Zeit stattfand...

???

Gruss,
Peter

Antwort

Themen zu FTP Passwörter ausgespäht
adaware, angriff, antivir, ausgespäht, beenden, browser, dateien, edition, firefox, frage, freeware, ftp, helfen, infiziert, logfile, neu, passwörter, personal, problem, seite, seiten, spybot, system, temporäre, total, total commander, trojaner, workstation




Ähnliche Themen: FTP Passwörter ausgespäht


  1. Unbekannte Programme, ausgespäht?
    Log-Analyse und Auswertung - 13.07.2015 (13)
  2. Email von Bank "DKB Konto ausgespäht"
    Plagegeister aller Art und deren Bekämpfung - 14.10.2014 (47)
  3. Keylogger? Passwort ausgespäht!
    Log-Analyse und Auswertung - 13.04.2014 (6)
  4. Passwörter gephised!
    Log-Analyse und Auswertung - 09.04.2014 (15)
  5. Wird mein Computer ausgespäht?
    Log-Analyse und Auswertung - 12.02.2014 (1)
  6. Virus - DKB Konto ausgespäht - Entrusted Toolbar
    Log-Analyse und Auswertung - 16.08.2013 (8)
  7. Sparkassen-Onlinebanking ausgespäht: EXP/CVE-2013-2423.F sowie TR/Agent.385024.338
    Log-Analyse und Auswertung - 15.05.2013 (24)
  8. Rechner ausgespäht? Antivirenprogramme finden nichts. :(
    Plagegeister aller Art und deren Bekämpfung - 22.02.2012 (14)
  9. Trojaner hat Email Passwort ausgespäht
    Plagegeister aller Art und deren Bekämpfung - 18.03.2011 (8)
  10. Rechner mit GOZI infiziert - online bankingdaten ausgespäht
    Plagegeister aller Art und deren Bekämpfung - 24.10.2010 (15)
  11. Passwörter ausspioniert
    Log-Analyse und Auswertung - 18.05.2010 (9)
  12. SchülerVZ-Datenlecks: auch geschützte Informationen ausgespäht
    Nachrichten - 28.10.2009 (0)
  13. SchülerVZ-Datenlecks: Auch geschützte Informationen ausgespäht
    Nachrichten - 28.10.2009 (0)
  14. Mehrere tausend Hotmail-Konten ausgespäht
    Nachrichten - 07.10.2009 (0)
  15. Mehrere tausend Hotmail-Konten ausgespäht
    Nachrichten - 06.10.2009 (0)
  16. passwörter speichern
    Überwachung, Datenschutz und Spam - 09.12.2005 (4)

Zum Thema FTP Passwörter ausgespäht - Guten Tag, Hatte vor ca. einem halbem Jahr das Problem, dass sämtliche Seiten, welche ich betreue, mit einem Trojaner infiziert wurden. Daraufhin wurde mir mitgeteilt, dass wahrscheinlich ein Trojaner meine - FTP Passwörter ausgespäht...
Archiv
Du betrachtest: FTP Passwörter ausgespäht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.