|
Log-Analyse und Auswertung: Trojaner spioniert Passwörter aus ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.08.2010, 08:05 | #1 |
| Trojaner spioniert Passwörter aus ? Ich komme in meinen OnlineBanking account nicht mehr rein, angeblich falsches Passwort, kann aber nicht sein. Ad Adware hat folgende Trojaner gefunden: Trojan-Spy.Win32.vb.misc.cobra Trojan.Win32.GenericBT Auf meinen PC ist GameBlock installiert (Blockieren von Spielesoftware), mir ist aufgefallen wenn ich den Prozess: C:\windows\system32\iespell.exe kille, läuft die Spielesoftware nicht mehr. Wenn ich diese Datei versuche zu löschen oder in Quarantäne zu schieben fährt der PC sofort runter, deswegen möchte ich die Datei nicht löschen. Die Datei: C:\WINDOWS\Provisioning\services.exe kann ich nicht löschen, ist bei jeden neustart wieder drin. Kann es sein das auf meinen PC Viren sind, die Passwörter ausspioneren und wenn ja was soll ich machen. Hier mein Log File: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:51:53, on 17.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Wireless Console 2\wcourier.exe C:\Programme\ASUS WLAN Adapter\ACU.exe C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe C:\Programme\ATK Hotkey\Hcontrol.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\windows\system32\iespell.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Ahead\NEROPH~2\data\xtras\mssysmgr.exe C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\RemoteControlService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\lxdicoms.exe C:\Programme\NDAS\System\ndassvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Provisioning\services.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ATK Hotkey\ATKOSD.exe C:\Programme\ATK Hotkey\WDC.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bild.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.asus.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe O4 - HKLM\..\Run: [ACU] "C:\Programme\ASUS WLAN Adapter\ACU.exe" -nogui O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe" O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe" O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [lexmarkfaxsolutions1] c:\windows\system32\iespell.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\xtras\mssysmgr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\iespell.dll O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\iespell.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.asus.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - hxxp://www.webcamcancun.com/WinWebPush.cab O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://200.79.225.92:8080/activex/AMC.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - hxxp://driveragent.com/files/driveragent.cab O23 - Service: ASUS-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Update Service (gupdate1cac9095918a45a) (gupdate1cac9095918a45a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe O23 - Service: Network Managing - Fieldriemn - C:\WINDOWS\system32\netcall5.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Wireless Location - Dueteoch Ltd - C:\WINDOWS\Provisioning\services.exe -- End of file - 10672 bytes |
17.08.2010, 12:24 | #2 |
/// Malwareteam | Trojaner spioniert Passwörter aus ?Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen. Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Code:
ATTFilter C:\WINDOWS\Provisioning\services.exe C:\windows\system32\iespell.exe Programme deinstallieren Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren. Code:
ATTFilter AskTBar Schritt 3 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Schritt 4 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
17.08.2010, 12:47 | #3 |
| Trojaner spioniert Passwörter aus ? Schritt 1 :
__________________Antivirus Version Last update Result AhnLab-V3 2010.08.17.00 2010.08.16 - AntiVir 8.2.4.34 2010.08.17 - Antiy-AVL 2.0.3.7 2010.08.16 - Authentium 5.2.0.5 2010.08.17 - Avast 4.8.1351.0 2010.08.17 - Avast5 5.0.332.0 2010.08.17 - AVG 9.0.0.851 2010.08.17 - BitDefender 7.2 2010.08.17 - CAT-QuickHeal 11.00 2010.08.16 - ClamAV 0.96.2.0-git 2010.08.17 - Comodo 5765 2010.08.17 - DrWeb 5.0.2.03300 2010.08.17 - Emsisoft 5.0.0.39 2010.08.17 - eSafe 7.0.17.0 2010.08.16 - eTrust-Vet 36.1.7794 2010.08.16 - F-Prot 4.6.1.107 2010.08.17 - F-Secure 9.0.15370.0 2010.08.17 - Fortinet 4.1.143.0 2010.08.16 - GData 21 2010.08.17 - Ikarus T3.1.1.88.0 2010.08.17 - Jiangmin 13.0.900 2010.08.17 - Kaspersky 7.0.0.125 2010.08.17 - McAfee 5.400.0.1158 2010.08.17 - McAfee-GW-Edition 2010.1B 2010.08.17 - Microsoft 1.6004 2010.08.17 - NOD32 5372 2010.08.17 - Norman 6.05.11 2010.08.17 - nProtect 2010-08-17.01 2010.08.17 - Panda 10.0.2.7 2010.08.16 - PCTools 7.0.3.5 2010.08.17 - Prevx 3.0 2010.08.17 - Rising 22.61.01.04 2010.08.17 - Sophos 4.56.0 2010.08.17 - Sunbelt 6746 2010.08.17 - SUPERAntiSpyware 4.40.0.1006 2010.08.17 - Symantec 20101.1.1.7 2010.08.17 - TheHacker 6.5.2.1.349 2010.08.16 - TrendMicro 9.120.0.1004 2010.08.17 - TrendMicro-HouseCall 9.120.0.1004 2010.08.17 - VBA32 3.12.14.0 2010.08.17 - ViRobot 2010.8.17.3993 2010.08.17 - VirusBuster 5.0.27.0 2010.08.16 - MD5: 62e2a05689b4a8e8539282be3894a8af SHA1: db4a69b6ce7ccf91e58d77a0f27d2e1a307a8aae SHA256: 4bed8ba90deebfa83e0557759c5fc451467e5f7f35541b1f6a4e30ff84faa195 File size: 28672 bytes Scan date: 2010-08-17 11:35:35 (UTC) File name: iespell.exe Submission date: 2010-08-17 11:45:24 (UTC) Current status: queued queued analysing finished Result: 2/ 41 (4.9%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.08.17.00 2010.08.16 - AntiVir 8.2.4.34 2010.08.17 - Antiy-AVL 2.0.3.7 2010.08.16 - Authentium 5.2.0.5 2010.08.17 - Avast 4.8.1351.0 2010.08.17 - Avast5 5.0.332.0 2010.08.17 - AVG 9.0.0.851 2010.08.17 - BitDefender 7.2 2010.08.17 - CAT-QuickHeal 11.00 2010.08.16 - ClamAV 0.96.2.0-git 2010.08.17 - Comodo 5765 2010.08.17 - DrWeb 5.0.2.03300 2010.08.17 BACKDOOR.Trojan Emsisoft 5.0.0.39 2010.08.17 - eSafe 7.0.17.0 2010.08.16 - eTrust-Vet 36.1.7794 2010.08.16 - F-Prot 4.6.1.107 2010.08.17 - F-Secure 9.0.15370.0 2010.08.17 - Fortinet 4.1.143.0 2010.08.16 - GData 21 2010.08.17 - Ikarus T3.1.1.88.0 2010.08.17 - Jiangmin 13.0.900 2010.08.17 TrojanDownloader.Agent.bjhh Kaspersky 7.0.0.125 2010.08.17 - McAfee 5.400.0.1158 2010.08.17 - Microsoft 1.6004 2010.08.17 - NOD32 5372 2010.08.17 - Norman 6.05.11 2010.08.17 - nProtect 2010-08-17.01 2010.08.17 - Panda 10.0.2.7 2010.08.16 - PCTools 7.0.3.5 2010.08.17 - Prevx 3.0 2010.08.17 - Rising 22.61.01.04 2010.08.17 - Sophos 4.56.0 2010.08.17 - Sunbelt 6746 2010.08.17 - SUPERAntiSpyware 4.40.0.1006 2010.08.17 - Symantec 20101.1.1.7 2010.08.17 - TheHacker 6.5.2.1.349 2010.08.16 - TrendMicro 9.120.0.1004 2010.08.17 - TrendMicro-HouseCall 9.120.0.1004 2010.08.17 - VBA32 3.12.14.0 2010.08.17 - ViRobot 2010.8.17.3993 2010.08.17 - VirusBuster 5.0.27.0 2010.08.16 - Additional informationShow all MD5 : acc6bcc0498e824308e2179b16e53f1f SHA1 : b8788ec5ac208930903c37567e52139e4e5eb956 SHA256: e952bcf4750c108837b731752cd5c3d28d5ffb50ffd1683c150bee542ef084f4 ssdeep: 12288:FODt+vYlaXERmjQ9SP8J+7IVKH0BWTAtC/s5ur4F63kxGDwdyvcpebo1qnUh2zgi:A File size : 1708032 bytes First seen: 2010-08-17 11:45:24 Last seen : 2010-08-17 11:45:24 TrID: Win32 Executable Microsoft Visual Basic 6 (68.5%) Win32 Executable MS Visual C++ (generic) (20.5%) Win32 Executable Generic (4.6%) Win32 Dynamic Link Library (generic) (4.1%) Generic Win/DOS Executable (1.0%) sigcheck: publisher....: copyright....: product......: description..: original name: htusvll.exe internal name: htusvll file version.: 6.27.0009 comments.....: signers......: - signing date.: - verified.....: Unsigned PEInfo: PE structure information [[ basic data ]] entrypointaddress: 0x11FC timedatestamp....: 0x488D98CA (Mon Jul 28 10:00:42 2008) machinetype......: 0x14c (I386) [[ 3 section(s) ]] name, viradd, virsiz, rawdsiz, ntropy, md5 .text, 0x1000, 0x19ECA8, 0x19F000, 2.73, e6c5e4cad72f3e6bc19bfd736fafbcbc .data, 0x1A0000, 0x7A98, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e .rsrc, 0x1A8000, 0x7EE, 0x1000, 2.04, d2feecb49d7c68058da286601b29379a [[ 1 import(s) ]] MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, EVENT_SINK_Release, -, -, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - Symantec reputation:Suspicious.Insight VT Community |
17.08.2010, 14:35 | #5 |
/// Malwareteam | Trojaner spioniert Passwörter aus ? Führe bitte einen Fullscan mit Malwarebytes aus und versuche danach nochmals OTL |
17.08.2010, 16:11 | #6 |
| Trojaner spioniert Passwörter aus ?Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4439 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17.08.2010 16:56:02 mbam-log-2010-08-17 (16-56-02).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 294234 Laufzeit: 1 Stunde(n), 4 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Das gleiche Problem besteht weiterhin, nach aufrufen von OTL.exe fährt der PC runter. |
18.08.2010, 06:47 | #8 |
| Trojaner spioniert Passwörter aus ? 1. Problem besteht weiterhin, auch beim umbenennen meldet sich der PC ab. 2. Es ist kein Firmencomputer, rein privat 3. Auf den PC ist eine abgelaufene Software GamBlock (Sperrt Onlinespielen) die immer noch irgendwie läuft |
18.08.2010, 18:14 | #9 |
/// Malwareteam | Trojaner spioniert Passwörter aus ?Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**
|
18.08.2010, 19:54 | #10 |
| Trojaner spioniert Passwörter aus ? Kann ComboFix nicht komplett ausführen, der Computer fährt in verschiedenen Bereichen des Programms wieder runter. |
18.08.2010, 19:59 | #11 |
/// Malwareteam | Trojaner spioniert Passwörter aus ? Schritt 1 Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Schritt 2 Versuche nun OTL.exe auszuführen. |
18.08.2010, 20:29 | #12 |
| Trojaner spioniert Passwörter aus ? Kann den abgesicherten Modus auch nicht aufrufen, kurz vor benutzerkontoanmeldung fährt der pc wieder runter. |
18.08.2010, 20:38 | #13 |
/// Malwareteam | Trojaner spioniert Passwörter aus ? Dann versuchen wir es einmal mit OTH Drucke dir die Anleitung gegebenfalls aus Downloade Dir bitte OTH ( by Oldtimer ) und speichere die Datei auf dem Desktop. Firefox User: Mit Rechtsklick auf OTH und "speichern als" downloaden.
Tut er das nicht klicke in OTH auf Reboot Poste mir die Logfile von Malwarebytes Starte Malwarebytes--> Reiter Scan-Berichte--> klick auf den aktuellsten Bericht--> es öffnet sich automatisch ein Text-Dokument. Sollte Malwarebytes nach dem Reboot nicht starten, teile mir das bitte mit. |
18.08.2010, 20:54 | #14 |
| Trojaner spioniert Passwörter aus ? Komme mit OTH nach killen der Prozesse nicht ins Internet um in mein Thread zu kommen, pc hängt sich auf. Nochmal zur information der PC ist ein Laptop und läuft über WLAN Fritz Box. Muss ich den mailwarebytes nochmal downloaden ist doch noch auf mein Desktop. |
18.08.2010, 21:18 | #15 |
/// Malwareteam | Trojaner spioniert Passwörter aus ? Sorry mein Fehler, Malwarebytes hat ja funktioniert. Dann vergiss diesen Schritt. Dann schauen wir mal so: Unbootbares System mit OTLPE Network scannen
ISOBurner Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. |
Themen zu Trojaner spioniert Passwörter aus ? |
ad-aware, adobe, adware, antivir, ask toolbar, avira, bho, bonjour, downloader, dsl, ebanking, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, location, log file, mein log, object, photoshop, plug-in, prozess, remote control, rojaner gefunden, rundll, system, trojaner, trojaner gefunden, viren, windows, windows xp, wlan |