Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Banken-spyware? (https://www.trojaner-board.de/15129-banken-spyware.html)

alien78 09.03.2005 12:30
Banken-spyware?
 
Hallo,

seit einger Zeit habe ich nach jedem Internetbesuch in der WindowsRegistry folgende Einträge (fett hervorgehoben):

Logfile of HijackThis v1.98.2
Scan saved at 12:03:29, on 09.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\iSaver\iSaverCtrl.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\Programme\RamCleaner\RamCleaner.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\McAfee\McAfee AntiSpyware\Msssrv.exe
C:\Programme\McAfee\McAfee AntiSpyware\MssCli.exe
C:\Programme\Emoticon +++\Emoticon +.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\alin\Desktop\Antispytools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 67.15.104.33 ibank.barclays.co.uk
O1 - Hosts: 67.15.104.33 online-business.lloydstsb.co.uk
O1 - Hosts: 67.15.104.33 online.lloydstsb.co.uk
O1 - Hosts: 67.15.104.33 www.halifax-online.co.uk
O1 - Hosts: 67.15.104.33 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 67.15.104.33 www.nwolb.com
O1 - Hosts: 67.15.104.33 banesnet.banesto.es
O1 - Hosts: 67.15.104.33 extranet.banesto.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\McRegWiz.exe /autorun
O4 - HKLM\..\Run: [_AntiSpyware] C:\Programme\McAfee\McAfee AntiSpyware\MssCli.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [RamCleaner] C:\Programme\RamCleaner\RamCleaner.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab

Ich habe bereits den Internet Exploer 6 deshalb mit XPlite deinstalliert. Hat aber leider nix gebracht.Ich fixe es dann erneut mit HijackThis, die "Banken-Einträge" erscheinen dennoch nach jedem Internetbesuch. Spybot DestroySearch und Adaware haben das Problem auch nicht behoben. Wer kann mir hier weiter helfen?? :heulen: Vielen Dank im Voraus.

fadmax 09.03.2005 12:47
schon escan durchgeführt? Wenn nicht hier ist der Link zur Beschreibung escan damit testen und die infected gekennzeichneten löschen, alles im abgesicherten Modus und mit deaktivierter Systemwiedererstellung!

EDIT: und mal dein Windows aktuell halten! SP2 und updates!

Wolfgang30 09.03.2005 15:00
Hallo alien 78 !

Diese Liste der o.g. Banken erinnern mich stark an den Troj/Banker-AJ
siehe: http:// www.sophos.com/virusinfo/analyses/trojbankeraj.html

bzw. Troj/BankAsh-A ( ein Banker- und Kennwort stehlender Trojaner ):
siehe: http://www.sophos.de/virusinfo/analy...jbankasha.html

Letztere wurde "berühmt" da er auch versucht die Anwendung Microsoft AntiSpyware zu deaktivieren oder zu beenden. Macht aber noch viel mehr,ua.

Stiehlt Kreditkarten-Daten
Schaltet Antiviren-Anwendungen aus
Löscht Dateien vom Computer
Stiehlt Daten etc.
Schau dir mal diese beiden o.g. Beschreibungen durch; sie könnten leider
auf dich zutreffen ohne dem eScan-Ergebnis vorzugreifen.

O

dartus 09.03.2005 15:28
alien78,

Du hast u.a. folgenden Besucher bei Dir im System:

http://www.sophos.de/virusinfo/analy...rancetteq.html = syschost.exe

Ermöglicht Dritten den Zugriff auf den Computer
Stiehlt Daten
Reduziert die Systemsicherheit
Speichert Tastenfolgen
Installiert sich in der Registrierung
Nutzt bekannte Schwachstellen aus

Kein Wunder bei einem ungepatchten System!
Da hier eine Backdoorfunktionalität vorliegt, wird Dir dringend geraten dies durchzuführen:

http://www.trojaner-board.de/showthread.php?t=12154

um derartigen zu vermeiden:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131