Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Welcher Trojaner an Bord? Bank sperrt online Account

Welcher Trojaner an Bord? Bank sperrt online Account


Plagegeister aller Art und deren Bekämpfung: Welcher Trojaner an Bord? Bank sperrt online Account

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2009, 20:10   #1
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Unglücklich

Welcher Trojaner an Bord? Bank sperrt online Account


Hallo zusammen,

Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal:

Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer Aufopferung für Leute, die Probleme haben.

Kurz zu meinem Fall:
Letzte Woche habe ich mitbekommen, dass meine Bank mir den Online-Zugang dicht gemacht hat.
Auf meine Nachfrage wurde mir erklärt, dass bei meinem Login ein Trojaner/Virus registriert und deshalb mein Account vorsorglich gesperrt wurde.
Als ich dann anrief, um weitere Infos zu bekommen, wurde mir dann gesagt, das der Virus/Trojaner bei denen unter dem Namen "URL Zone" geführt wird. Eine weitere Recherche mit der Bezeichnung hat mich später aber auch nicht weiter gebracht. Mir wurde außerdem ein Neuaufsetzen nahe gelegt - wahrscheinlich, um DAU-Fehler komplett ausschließen zu können.

Ich habe leider keinen blassen Schimmer, woher das Ding - so es denn existiert - stammen soll. Bei mir läuft Antivir, ab und an mache ich einen Scan mit HJT und Stinger.exe, da ich auch ein wenig paranoid, aber anscheinend nicht genug bin.
Außerdem versuche ich mein System mit TuneUp2007 sauber zu halten und habe, nach meiner Einschätzung, alle unnötigen Prozesse (updater von Anwendungen u.ä.) beim Systemstart auf Eis gelegt.
Ich hoffe, dadurch werden auch meine LogFiles entsprechend schmal gehalten.

Ich weiß, dass ich mit dem ServicePack 2 unterwegs bin und habe Schiß mir mein System mit einem Upgrade zu zerschießen (hab ich schonmal erlebt bei SP1 auf SP2) - das hatte mit damals die Userverwaltung zerschossen, ich kam nicht mehr in das System und die XP Reparatur hat nicht gegriffen, da Version SP 0 --> vielen Dank, einmal Neu bitte.

Hier also mein HJT-Scan:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:37, on 27.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\TOSHIBA\TouchED\TouchED.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Opera\opera.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <edit>://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - <edit>://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - <edit>://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - <edit>://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\Software\..\Telephony: DomainName = <edit-domain>
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = <edit-domain>
O20 - Winlogon Notify: TosBtNP - C:\WINDOWS\SYSTEM32\TosBtNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 8306 bytes
Ich hoffe, ich hab alle Soll-Punkte für das Posten von persönlichen und ausführbaren Informationen erwischt.

die Punkte 1 und 2 unter "Für alle Neuen" habe ich bereits gelesen und durchgeführt.

hier noch das Log von Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2489
Windows 5.1.2600 Service Pack 2

26.07.2009 00:53:10
mbam-log-2009-07-26 (00-53-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74518
Laufzeit: 4 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\<edit>\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\<edit>\anwendungsdaten\ni.gscns\dl.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\<edit>\anwendungsdaten\ni.gscns\settings.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Ich hoffe, Ihr könnt mir helfen?

Viele Grüße,
Marcus

Alt 28.07.2009, 07:32   #2
Chris4You
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account


Hi,

aufsetzten ist immer die beste Methode, wenn man ein aktuelles Backup hat!
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\SYSTEM32\TosBtNP.dll <- gehört ev. zu Deinem (Toshiba)-Notebook
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
__________________

__________________
Alt 28.07.2009, 15:56   #3
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account


Hallo Chris,

Danke, dass Du Dich der Sache angenommen hast.

Ich werde alles durchführen, sobald ich zu Haus bin - tagsüber bin ich halt viel unterwegs.

Dann bis später und viele Grüße
__________________
Alt 28.07.2009, 22:06   #4
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account


Hallo Chris,

Dateieinstellungen war bereits Standard bei mir.

Die Datei gehört zum Notebook und war auch schon immer da.
Onlinescan der Datei TosBtNP.dll - Ergebnis:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.28	-
AhnLab-V3	5.0.0.2	2009.07.28	-
AntiVir	7.9.0.234	2009.07.28	-
Antiy-AVL	2.0.3.7	2009.07.28	-
Authentium	5.1.2.4	2009.07.28	-
Avast	4.8.1335.0	2009.07.28	-
AVG	8.5.0.387	2009.07.28	-
BitDefender	7.2	2009.07.28	-
CAT-QuickHeal	10.00	2009.07.28	-
ClamAV	0.94.1	2009.07.28	-
Comodo	1797	2009.07.28	-
DrWeb	5.0.0.12182	2009.07.28	-
eSafe	7.0.17.0	2009.07.28	-
eTrust-Vet	31.6.6643	2009.07.28	-
F-Prot	4.4.4.56	2009.07.28	-
F-Secure	8.0.14470.0	2009.07.28	-
Fortinet	3.120.0.0	2009.07.28	-
GData	19	2009.07.28	-
Ikarus	T3.1.1.64.0	2009.07.28	-
Jiangmin	11.0.800	2009.07.28	-
K7AntiVirus	7.10.804	2009.07.28	-
Kaspersky	7.0.0.125	2009.07.28	-
McAfee	5691	2009.07.28	-
McAfee+Artemis	5691	2009.07.28	-
McAfee-GW-Edition	6.8.5	2009.07.28	-
Microsoft	1.4903	2009.07.28	-
NOD32	4286	2009.07.28	-
Norman	6.01.09	2009.07.28	-
nProtect	2009.1.8.0	2009.07.28	-
Panda	10.0.0.14	2009.07.28	-
PCTools	4.4.2.0	2009.07.28	-
Prevx	3.0	2009.07.28	-
Rising	21.40.14.00	2009.07.28	-
Sophos	4.44.0	2009.07.28	-
Sunbelt	3.2.1858.2	2009.07.28	-
Symantec	1.4.4.12	2009.07.28	-
TheHacker	6.3.4.3.376	2009.07.28	-
TrendMicro	8.950.0.1094	2009.07.28	-
VBA32	3.12.10.9	2009.07.28	-
ViRobot	2009.7.28.1857	2009.07.28	-
VirusBuster	4.6.5.0	2009.07.28	-
weitere Informationen
File size: 65536 bytes
MD5...: f51eb3a414121332f1820aed34b0cfdf
SHA1..: cc26cc5ccb87df591378144d35dd860154dea448
SHA256: 1b8d965e353ca8f4c5e6dda517f824632619e51c7237553f3d6c1fb17844d466
ssdeep: 768:yn2aGalLuXzXnx9x0ANeiViV3VlY9CTkFFRP59tlHa+NwG3otPlrN1:g2awr
nopTYYTkFxVHBNwFtPln
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x477d
timedatestamp.....: 0x44c0b24f (Fri Jul 21 10:54:07 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x719a 0x8000 6.12 343bb0791e7ca7947ae2590bc0f5fd8f
.rdata 0x9000 0x13e7 0x2000 3.91 315388a13579a1cf7669941dadd4f873
.data 0xb000 0x3514 0x3000 1.35 86ebf9a197cb1a454aaf9aa40fc60ffd
.rsrc 0xf000 0x488 0x1000 1.13 feebb898239ea11d712bcd93956c2db1
.reloc 0x10000 0xfee 0x1000 4.16 8a657bbfdc668f932dbe1be36733bee1

( 4 imports ) 
> KERNEL32.dll: ReleaseMutex, CreateThread, CreateSemaphoreA, CreateMutexA, TerminateThread, WaitForSingleObject, Sleep, MultiByteToWideChar, CreateEventA, SetEvent, CreateNamedPipeA, DisconnectNamedPipe, ConnectNamedPipe, ResetEvent, ReadFile, GetOverlappedResult, GetTickCount, ReleaseSemaphore, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteFile, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetCurrentProcessId, DisableThreadLibraryCalls, VerSetConditionMask, VerifyVersionInfoA, GetCurrentProcess, CreateDirectoryA, GetProcAddress, CreateFileA, GetLastError, GetFileAttributesA, SetFileAttributesA, CloseHandle, GetPrivateProfileStringA, FindFirstFileA, FindNextFileA, FindClose, FreeLibrary, LoadLibraryA, TlsGetValue, HeapFree, HeapAlloc, GetCommandLineA, GetVersion, GetModuleHandleA, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, RtlUnwind, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, TerminateProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError
> USER32.dll: GetDlgItem, GetClassNameA, GetWindowThreadProcessId, EnumWindows, IsWindowVisible, SystemParametersInfoA, OpenDesktopA, GetForegroundWindow, EnumDesktopWindows, CloseDesktop, GetWindowPlacement, SendDlgItemMessageA, SendMessageTimeoutA, SendMessageA, EndDialog, SetWindowPos, ShowWindow, DialogBoxParamA, IsWindow, PostMessageA, wsprintfA, MessageBoxA, GetDlgItemTextA
> ADVAPI32.dll: RegQueryValueExA, ImpersonateNamedPipeClient, RevertToSelf, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, CreateProcessAsUserA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegCloseKey, CryptAcquireContextA, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDestroyHash, CryptDestroyKey, CryptReleaseContext
> SHELL32.dll: SHGetFolderPathA

( 9 exports ) 
TBNP_Event_Lock, TBNP_Event_Logoff, TBNP_Event_Logon, TBNP_Event_Shutdown, TBNP_Event_StartScreenSaver, TBNP_Event_StartShell, TBNP_Event_Startup, TBNP_Event_StopScreenSaver, TBNP_Event_Unlock
PDFiD.: -
RDS...: NSRL Reference Data Set
-
AntiVir Einstellungen: gesetzt
Komplett-Scan: läuft, Ergebnis kommt
Unter AntiVir --> Scanner --> Suche --> Weitere Einstellungen gibt es in der aktuellen Version mehr Optionen als auf dem Screenshot, ich habe alle aktiv geschaltet bis auf "offline Dateien ignorieren", das ist hoffentlich in Deinem Sinne?

Kann ich RSIT auch während des Avira-Scans starten? Das spart u.U. viel Zeit?

Danke und viele Grüße,
Marcus
Geändert von Dodger (28.07.2009 um 22:15 Uhr)

Alt 28.07.2009, 22:50   #5
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account


Hi Chris,

Ich hab es halt parallel gestartet.
Hier das editierte RSIT log.txt_1:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by <edit-user> at 2009-07-28 23:25:59
Microsoft Windows XP Professional Service Pack 2
System drive C: has 43 GB (72%) free of 60 GB
Total RAM: 2039 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:33, on 28.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\TOSHIBA\TouchED\TouchED.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Opera\opera.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\<edit-user>\Desktop\RSIT.exe
D:\Programme\Trend Micro\HijackThis\<edit-user>.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = <edit>://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = <edit>://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - <edit>://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - <edit>://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - <edit>://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\Software\..\Telephony: DomainName = <edit-domain>
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = <edit-domain>
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = <edit-domain>
O20 - Winlogon Notify: TosBtNP - C:\WINDOWS\SYSTEM32\TosBtNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Festplattenschutz (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 8450 bytes


Alt 28.07.2009, 22:53   #6
Dodger
 
Welcher Trojaner an Bord? Bank sperrt online Account - Standard

Welcher Trojaner an Bord? Bank sperrt online Account


und das RSIT log.txt_2:
Code:
ATTFilter
======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0\bin\ssv.dll [2007-06-08 501384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"00THotkey"=C:\WINDOWS\system32\00THotkey.exe [2006-08-11 253952]
"TouchED"=C:\Programme\TOSHIBA\TouchED\TouchED.exe [2005-09-01 118784]
"ThpSrv"=C:\WINDOWS\system32\thpsrv /logon []
"TFNF5"=C:\WINDOWS\system32\TFNF5.exe [2006-04-11 622592]
"TPSODDCtl"=C:\WINDOWS\system32\TPSODDCtl.exe [2007-04-20 102400]
"TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2007-04-20 299008]
"TMERzCtl.EXE"=C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE [2006-09-01 90112]
"TosHKCW.exe"=C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe [2005-05-17 49152]
"NDSTray.exe"=NDSTray.exe []
"CFSServ.exe"=CFSServ.exe -NoClient []
"000StTHK"=C:\WINDOWS\system32\000StTHK.exe [2001-06-23 24576]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"F-StopW"=C:\Programme\FSI\F-Prot\F-StopW.EXE [2006-01-06 300032]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe [2007-04-26 313352]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2007-06-29 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe [2007-05-11 143360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]
C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe [2007-04-02 577536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
C:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\AcroTray.exe  []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE [2007-05-11 738968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk]
C:\PROGRA~1\GEMEIN~1\Lexware\UPDATE~1\LXUPDA~1.EXE [2008-11-03 339240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2000-01-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-03-03 106561]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Norton Ghost"=2
"GEARSecurity"=2
"VMware NAT Service"=2
"vmount2"=2
"VMnetDHCP"=2
"VMAuthdService"=2
"SQLWriter"=3
"ose"=3
"MSSQL$MSSMLBIZ"=2
"MAudioAudiophileService"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-03-30 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psfus]
C:\WINDOWS\system32\psqlpwd.dll [2006-05-05 40448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\TosBtNP]
C:\WINDOWS\system32\TosBtNP.dll [2006-07-22 65536]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=psqlpwd
scecli

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-28 23:25:59 ----D---- C:\rsit
2009-07-28 22:50:17 ----D---- C:\WINDOWS\LastGood
2009-07-23 22:00:34 ----D---- C:\Dokumente und Einstellungen\<edit-user>\Anwendungsdaten\Malwarebytes
2009-07-23 22:00:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-23 19:53:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-23 19:53:46 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2009-07-14 21:15:32 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-14 21:15:24 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-14 21:12:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$

======List of files/folders modified in the last 1 months======

2009-07-28 23:25:37 ----D---- C:\WINDOWS\Prefetch
2009-07-28 22:51:01 ----HD---- C:\WINDOWS\inf
2009-07-28 22:50:19 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-28 22:50:18 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-28 22:50:17 ----D---- C:\WINDOWS
2009-07-28 22:46:54 ----D---- C:\WINDOWS\Temp
2009-07-28 07:02:43 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-27 19:28:35 ----D---- C:\WINDOWS\system32\drivers
2009-07-27 19:14:58 ----RD---- C:\Programme
2009-07-26 00:54:04 ----D---- C:\WINDOWS\system32
2009-07-25 21:16:11 ----SHD---- C:\WINDOWS\CSC
2009-07-23 22:45:42 ----A---- C:\WINDOWS\win.ini
2009-07-23 21:55:31 ----D---- C:\WINDOWS\Minidump
2009-07-23 21:55:31 ----D---- C:\WINDOWS\Debug
2009-07-23 21:00:33 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared
2009-07-23 21:00:11 ----SHD---- C:\WINDOWS\Installer
2009-07-23 21:00:11 ----D---- C:\Config.Msi
2009-07-23 20:59:45 ----D---- C:\Programme\Symantec
2009-07-23 20:56:40 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-07-23 20:55:34 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-23 20:52:27 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-23 20:48:41 ----D---- C:\Programme\M-Audio
2009-07-23 20:07:44 ----RSD---- C:\WINDOWS\Fonts
2009-07-23 19:53:47 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-21 19:54:20 ----D---- C:\WINDOWS\system32\config
2009-07-21 19:53:48 ----D---- C:\WINDOWS\system32\wbem
2009-07-21 19:53:48 ----D---- C:\WINDOWS\Registration
2009-07-14 21:15:26 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-06 21:18:41 ----D---- C:\WINDOWS\system32\sX3i19
2009-07-06 01:28:51 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-02-13 95576]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2004-05-05 4228]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 TMEI3E;TMEI3E; C:\WINDOWS\System32\Drivers\TMEI3E.SYS [2004-06-16 5888]
R1 Tosrfcom;Bluetooth RFCOMM; C:\WINDOWS\System32\Drivers\tosrfcom.sys [2005-08-01 64896]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-02-13 55640]
R2 FdRedir;FdRedir; \??\C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\FdRedir.sys []
R2 FileDisk2;FileDisk Protector Kernel Driver; \??\C:\Programme\Gemeinsame Dateien\Protector Suite QL\Drivers\filedisk.sys []
R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\Drivers\hcmon.sys []
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\system32\DRIVERS\netdevio.sys [2003-01-29 12032]
R2 smihlp;SMI helper driver; \??\C:\Programme\Protector Suite QL\smihlp.sys []
R2 tdudf;TOSHIBA UDF File System Driver; C:\WINDOWS\system32\DRIVERS\tdudf.sys [2007-03-26 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver; C:\WINDOWS\system32\DRIVERS\trudf.sys [2007-02-19 134016]
R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2005-12-20 23424]
R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys []
R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys []
R2 vstor2;Vstor2 Virtual Storage Driver; \??\C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys []
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-11-29 1161888]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\system32\DRIVERS\Apfiltr.sys [2004-05-09 101833]
R3 AsapiW2K;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2003-12-04 11264]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1e5132.sys [2007-02-01 250776]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-03-30 5704672]
R3 IFXTPM;IFXTPM; C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-03-13 4486144]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NETw4x32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows XP 32 Bit; C:\WINDOWS\system32\DRIVERS\NETw4x32.sys [2007-02-25 2203520]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2006-01-13 76544]
R3 TcUsb;TC USB Kernel Driver; C:\WINDOWS\System32\Drivers\tcusb.sys [2006-05-05 28800]
R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver; C:\WINDOWS\system32\DRIVERS\tdcmdpst.sys [2007-02-22 16128]
R3 TEchoCan;Toshiba Audio Effect; C:\WINDOWS\system32\DRIVERS\TEchoCan.sys [2007-02-21 435072]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-11-30 162560]
R3 tosporte;Bluetooth COM Port; C:\WINDOWS\system32\DRIVERS\tosporte.sys [2006-10-10 41600]
R3 tosrfec;Bluetooth ACPI; C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2006-10-23 9216]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
S3 MADFU003;MADFU003; C:\WINDOWS\SYSTEM32\DRIVERS\MADFU003.sys [2007-06-27 69248]
S3 MAUSBAP;Service for M-Audio Audiophile (WDM); C:\WINDOWS\system32\DRIVERS\mausbap.sys []
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2007-02-22 12288]
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 tosrfbd;Bluetooth RFBUS; C:\WINDOWS\system32\DRIVERS\tosrfbd.sys [2007-02-22 113920]
S3 tosrfbnp;Bluetooth RFBNEP; C:\WINDOWS\System32\Drivers\tosrfbnp.sys [2006-11-20 36480]
S3 Tosrfhid;Bluetooth RFHID; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys [2007-03-01 73728]
S3 tosrfnds;Bluetooth Personal Area Network; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys [2005-01-06 18612]
S3 TosRfSnd;Bluetooth Audio; C:\WINDOWS\system32\drivers\tosrfsnd.sys [2007-01-22 53376]
S3 tosrfusb;Bluetooth USB Controller; C:\WINDOWS\system32\DRIVERS\tosrfusb.sys [2007-03-30 41856]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-04 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 USBNP4X4;M-Audio Audiophile USB Midi; C:\WINDOWS\system32\drivers\usbnp4x4.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2005-12-20 9600]
S3 vmusb;VMware USB Client Driver; C:\WINDOWS\System32\Drivers\vmusb.sys [2005-12-20 21888]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 CFSvcs;ConfigFree Service; C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe [2005-01-18 40960]
R2 F-Prot Antivirus Update Monitor;F-Prot Antivirus Update Monitor; C:\Programme\FSI\F-Prot\fpavupdm.exe [2006-01-06 163144]
R2 Thpsrv;TOSHIBA Festplattenschutz; C:\WINDOWS\system32\ThpSrv.exe [2007-04-02 562744]
R2 Tmesrv;Tmesrv3; C:\Programme\TOSHIBA\TME3\Tmesrv31.exe [2006-01-19 118784]
R2 TODDSrv;TOSHIBA Optical Disc Drive Service; C:\WINDOWS\system32\TODDSrv.exe [2006-05-25 114688]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-25 125048]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-04-29 654848]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2007-06-15 300544]
S4 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 SQLBrowser;SQL Server-Browser; c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2006-04-14 240416]
S4 SQLWriter;SQL Server VSS Writer; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840]
S4 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Player\vmware-authd.exe [2005-12-20 217088]
S4 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2005-12-20 106496]
S4 vmount2;VMware Virtual Mount Manager Extended; C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe [2005-12-20 245760]
S4 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2005-12-20 135168]

-----------------EOF-----------------

Antwort

Themen zu Welcher Trojaner an Bord? Bank sperrt online Account
adobe, agere systems, antivir, antivir guard, antivirus, avira, bho, desktop, einstellungen, explorer, festplatte, gesperrt, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, malwarebytes' anti-malware, monitor, object, pdf-datei, prozesse, registrierungsschlüssel, rogue.trace, scan, schutz, security.hijack, software, solution, system, trojaner, trojaner/virus, url zone, userinit.exe, virus/trojaner, windows, windows xp


« ctfmon Trojaner | Explorer.exe hat ein Problem festgestellt und muss beendet werden »


Ähnliche Themen: Welcher Trojaner an Bord? Bank sperrt online Account


  1. Online-Banking-Account gesperrt - Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.09.2015 (25)
  2. T-Online Account versendet SPAM - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2015 (13)
  3. Bank sperrt Online-Banking wegen Verdacht auf Trojaner Befall
    Log-Analyse und Auswertung - 04.08.2014 (20)
  4. Bank hat Online-Banking gesperrt wegen Verdacht von Trojaner
    Log-Analyse und Auswertung - 13.06.2014 (22)
  5. Multi-Tan-Trojaner blockiert Online-Banking-Seite der Deutschen Bank
    Log-Analyse und Auswertung - 04.05.2013 (3)
  6. GUV 2.07 Trojaner, welcher nur blockiert, wenn man online geht.
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (19)
  7. JS:Exploit.JS.Agent.AK - Online Banking Deutsche Bank Trojaner (?)
    Log-Analyse und Auswertung - 09.08.2012 (1)
  8. Trojaner......alle email acounts rufen mich zu neuem Passwort auf. Bank sperrte mein online banking
    Plagegeister aller Art und deren Bekämpfung - 01.03.2012 (1)
  9. möglicherweise Torpig_2-Infektion, Bank-Account gesperrt
    Log-Analyse und Auswertung - 16.08.2011 (1)
  10. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (25)
  11. Ebenfalls Trojaner an Bord - Online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (11)
  12. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (33)
  13. Online-Banking gehackt ? Benachrichtigung von der Bank
    Plagegeister aller Art und deren Bekämpfung - 29.01.2011 (6)
  14. Bank sperrt Online Banking angeblich Trojaner
    Log-Analyse und Auswertung - 10.10.2010 (3)
  15. TAN Trojaner beim Online Banking der Deutschen Bank :(
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (12)
  16. bank sperrt konto. urlzone?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2010 (29)
  17. Sparkasse sperrt online Zugang wegen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (20)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Welcher Trojaner an Bord? Bank sperrt online Account - Hallo zusammen, Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal: Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer - Welcher Trojaner an Bord? Bank sperrt online Account...
Archiv
Du betrachtest: Welcher Trojaner an Bord? Bank sperrt online Account auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131