PAYPAL Pishing
 

Hi !

Hier kurz die vorgeschichte:

email von "Paypal" bekommen. sollte meinen account aus sicherheitsgründen verifizieren, hab den link auf seine richtigkeit überprüft und geklickt. wurde aber auf ne seite mit irgendner co.uk endung umgeleitet. hab die seite noch während sie sich aufgebaut hat weggeklickt und anschließend sofort anti vir + spybot durchlaufen lassen, beider sogar nochmal upgedatet vorher.

e mail hatte ich allerdings zu diesem zeitpunkt noch nicht gelöscht.
hab später irgendwann rebootet und dann kam nach ner zeit ein icq update (??)
da ich antivir guard sowie resident laufen hatte dachte ich mir kann ja nix passieren. hab ne systemdateien änderung durch spybot nich zugelassen.
dann is auf einmal noch ein anti vir update fenster gekommen ,auch richtig gut gefaket, sowie auch die vermeindliche paypal mail sowie das icq update ..

hab daraufhin jetzt 3 mal versuht spybot laufen zu lassen , aber der computer rebootet einfach während des scans !!

Logfile of HijackThis v1.99.1
Scan saved at 02:34:34, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Alice\Signup\AliceCnn.exe
D:\U B E R O r d n e R !\lowkickinneeier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Hi,
na du machst Sachen. :D

Irgendwas sagt mir, dass das hier normalerweise nicht auf deinem Rechner laufen sollte:
Lass die Datei bitte mal bei virustotal

Ich würd sicherheitshalber vorerst kein Onlinebanking/Paypal/etc mehr auf diesem Rechner durchführen. Wenn du einen weiteren (sauberen) Rechner hast, von diesem aus bitte die Passwörter ändern.

Vor dem nächsten Scan bitte folgendes tun:
Start->Systemsteuerung->System->Erweitert->bei Start und Wiederherstellung auf Einstellungen klicken->Den Haken bei "automatischen NEustart durchführen" rausnehmen.

Dann sollte beim nächsten Neustart eine Meldung erscheinen, wieso der Rechner neugestartet wird. Diese bitte abschrieben und heir posten.

lg myrtille

hehe, so hab ich die hijack logfile genannt :D

man kann ja nie wissen..

ääh. ne die hijackthis.exe is das ^^

ok, scan läuft!

fett das du so schnell parat bist !! :-)

I see. :D

Da ich eben munter während deiner Antwort editiert hab, poste ichs nochmal, damit du nichts überliest:

Ich würd sicherheitshalber vorerst kein Onlinebanking/Paypal/etc mehr auf diesem Rechner durchführen. Wenn du einen weiteren (sauberen) Rechner hast, von diesem aus bitte die Passwörter ändern.

Vor dem nächsten Scan bitte folgendes tun:
Start->Systemsteuerung->System->Erweitert->bei Start und Wiederherstellung auf Einstellungen klicken->Den Haken bei "automatischen NEustart durchführen" rausnehmen.

Dann sollte beim nächsten Neustart eine Meldung erscheinen, wieso der Rechner neugestartet wird. Diese bitte abschrieben und heir posten.


Ansonsten bitte noch Logs mit folgenden Programmen durchführen:

* Blacklight
* Silentrunners
* combofix
* und folgendes script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

wieso läuft das obwohl ich den IE nie benutz ??

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de




O17 - HKLM\System\CCS\Services\Tcpip\..\{4124CD8A-9DB0-471B-8380-6E2497E48B37}: NameServer = 213.191.74.11 213.191.92.82

und was hats damit auf sich ???

Nicht alles was bei Hijackthis gelistet ist, ist automatisch ein Prozess, der auf deinem Rechner läuft. Eigentlich überprüft das Tool Einträge in der Registry, die gerne von Malware verändert werden.
Diese Einträge sind in dem Fall einfach Registryschlüssel in denen die Startseite vom Internet Explorer steht.

Das stellt sicher, dass du zu deinem Internetanbieter durchkommst. ;)

Einige Infos kann man zb hier finden: klick

03/03/08 03:26:15 [Info]: BlackLight Engine 1.0.67 initialized
03/03/08 03:26:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/03/08 03:26:17 [Note]: 7019 4
03/03/08 03:26:17 [Note]: 7005 0
03/03/08 03:26:24 [Note]: 7006 0
03/03/08 03:26:24 [Note]: 7011 1788
03/03/08 03:26:25 [Note]: 7026 0
03/03/08 03:26:25 [Note]: 7026 0
03/03/08 03:26:28 [Note]: FSRAW library version 1.7.1024
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012
03/03/08 03:27:32 [Note]: 2000 1012







"Silent Runners.vbs", revision 56, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"PowerKey" = ""C:\Programme\Launch Manager\PowerKey.exe"" [empty string]
"LManager" = "C:\Programme\Launch Manager\HotkeyApp.exe" ["Wistron"]
"CtrlVol" = "C:\Programme\Launch Manager\CtrlVol.exe" ["Wistron"]
"LMgrOSD" = "C:\Programme\Launch Manager\OSDCtrl.exe" [empty string]
"Wbutton" = ""C:\Programme\Launch Manager\Wbutton.exe"" [empty string]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Pj\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClick.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
Broadcom Wireless LAN Tray Service, wltrysvc, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


---------- (launch time: 2008-03-03 03:30:40)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 255 seconds, including 18 seconds for message boxes)






Nach dem neustart durch combofix is ne spybot registrierungsdatenbanksänderungsversuchmeldung (:D) gekommen.

JA! Mit SICHERHEIT !!

4 oder 5 mal rebootet er und jetzt wo ich diese option umgestellt habe nicht mehr ?! pfff

Das ist reine Provokation. ;) Das macht er nur um dich zu ärgern. ;)

Nein im Ernst: Es kann durchaus sein, dass dein Rechner während eines Scans zu heiß wird und daher abstürzt. Das lässt sich dann natürlich nicht so leicht reproduzieren

Wenn in den beiden anderen Logs auch keine Auffälligkeiten sind, würde ich vermuten, dass du dir nichts eingefangen hast. ;)
Dann musst du mir die "gefakten Updates" bei Antivir und ICQ aber nochmal genauer erklären. Weißt du, dass sie gefälscht waren, oder glaubst du, dass sie evtl gefälscht waren?
Bedank dich beim Bahnhof nebenan, der meine Abwesenheit dieses Wochenende genutzt hat um sich in eine Nachtbaustelle zu verwandeln. :o


lg myrtille

EDIT:
Die Nachtbaustelle schweigt, ich bin dann mal im Bett. ;) Man sieht sich später.
Gute Nacht :)

ComboFix 08-03-03.6 - Pj 2008-03-03 3:50:40.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.733 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Pj\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 ))))))))))))))))))))))))))))))
.

2008-02-27 17:19 . 2008-02-27 17:19 <DIR> d-------- C:\+++ DOWNLOADS
2008-02-24 13:51 . 2008-02-24 13:51 <DIR> d--hs---- C:\FOUND.007
2008-02-22 16:32 . 2008-02-22 16:32 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-22 16:32 . 2008-02-22 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 15:29 . 2008-02-22 15:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-22 15:29 . 2006-07-14 16:38 332,288 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-02-17 12:19 . 2008-02-17 12:19 <DIR> d-------- C:\Programme\Steam
2008-02-17 04:38 . 2008-02-17 04:38 <DIR> d-------- C:\Programme\Bonjour
2008-02-17 04:35 . 2008-02-17 04:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\TuneUp Software
2008-02-16 22:33 . 2008-02-16 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2008-02-16 22:33 . 2008-02-16 22:33 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-16 22:33 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-16 22:32 . 2008-02-16 22:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-16 21:23 . 2008-02-16 21:23 <DIR> d-------- C:\Programme\Avira
2008-02-16 20:31 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002275_.tmp
2008-02-16 20:24 . 2008-02-16 20:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-02-16 20:24 . 2008-02-16 20:24 <DIR> d-------- C:\Programme\Alice
2008-02-16 20:22 . 2006-07-01 23:30 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2008-02-15 19:37 . 2008-02-15 19:37 <DIR> d---s---- C:\Dokumente und Einstellungen\Pj\UserData
2008-02-15 19:34 . 2008-02-15 19:34 <DIR> d--hs---- C:\FOUND.006
2008-02-13 18:25 . 2008-02-13 18:25 <DIR> d-------- C:\Programme\ICQnew
2008-02-13 18:12 . 2008-02-13 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\InstallShield
2008-02-13 12:39 . 2008-02-13 12:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-02-13 12:21 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-02-13 07:25 . 2008-02-13 07:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-02-13 02:40 . 2008-02-13 02:40 <DIR> d-------- C:\WINDOWS\peernet
2008-02-13 02:34 . 2004-08-04 00:57 2,067,968 --a------ C:\WINDOWS\system32\cdosys.dll
2008-02-13 02:28 . 2008-02-13 02:28 111 --a------ C:\WINDOWS\telephon.ini
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-13 01:38 . 2007-06-08 20:46 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.005
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.004
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.003
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.002
2008-02-13 01:04 . 2008-02-13 01:04 <DIR> d--hs---- C:\FOUND.001
2008-02-13 01:02 . 2008-02-13 01:02 <DIR> d-------- C:\Programme\7-Zip
2008-02-13 01:00 . 2008-02-13 01:00 <DIR> d-------- C:\571cb8466849ef26cfa3508d8deb3e5e
2008-02-12 19:31 . 2008-02-12 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet
2008-02-12 16:08 . 2008-02-12 16:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-02-12 13:21 . 2008-02-12 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\Pj\Anwendungsdaten\ICQ(2)
2008-02-11 12:25 . 2004-08-04 00:42 425,472 --------- C:\WINDOWS\system32\html.iec
2008-02-11 12:25 . 2004-07-17 11:36 64,352 --------- C:\WINDOWS\system32\drivers\ativmc20.cod
2008-02-11 12:24 . 2008-02-11 12:24 <DIR> d-------- C:\WINDOWS\provisioning
2008-02-11 12:16 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002443_.tmp
2008-02-03 00:34 . 2008-02-03 00:34 <DIR> d--hs---- C:\FOUND.000

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-08-05 13:30 102,352 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\firstlsp.reg.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 21:05 339968]
"PowerKey"="C:\Programme\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]
"LManager"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-03-29 11:08 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2004-01-28 17:48 184320]
"LMgrOSD"="C:\Programme\Launch Manager\OSDCtrl.exe" [2004-10-11 10:47 245760]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-03-03 17:39 77824]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-16 21:24 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"="C:\Programme\Steam\Steam.exe" -silent
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LaunchAp"=C:\Programme\Launch Manager\LaunchAp.exe
"Broadcom Wireless Manager UI"=C:\WINDOWS\System32\WLTRAY
"SoundMan"=SOUNDMAN.EXE
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 15:18]
R3 POWERKEY;POWERKEY;C:\Programme\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-16 22:33]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e158dd0-1a07-11dc-85c2-000e9bb98a28}]
\Shell\AutoRun\command - F:\LaunchU3.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-29 19:58:10 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 03:54:24
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-03 3:55:12 - machine was rebooted

http://www.file-upload.net/download-702379/listing.txt.html


Combofix ist "as is" zum Gebrauch vorgesehen.. HAHA

Combofix /U funzt nich, ist es wichtig das prog zu entfernen wieder ??

nachdem combofix rebootet hatte , hat mein spybot übrigen 5-6 registrierungsdatenbanksänderungsprozesse gestoppt... :)

Naja, eigentlich wärs schon ganz gut Combofix wieder zu deinstallieren, weil er doch einige Veränderungen an deinem Rechner vornimmt, da du allerdings die Veränderungen by Spybot zum Teil verboten hast, kann es sein, dass du das Tool nicht deinstallieren kannst. Hab ich nie probiert.

Generell ist der Teatimer von Spybot ein zweischneidiges Schwert:
Zum einen verhindert er natürlich (wenn er nicht ausgehebelt wird), dass sich Malware installiert, er verhindert aber auch regelmäßig, dass sich rechtmäßige Programme installieren können und zerstört so die Installationen.
An deiner Stelle würde ich ihn deaktivieren. Ein gelegntlicher Scan mit Spybot ist für sowas ausreichend. ;)

Da ich auch in den beiden letzten Logs nicht sehen konnte, würd es mich wundern, wenn du befallen sein solltest. Was genau verleitete dich denn zu der Annahme? Nur das Abstürzen von Spybot oder war da noch mehr?

lg myrtille

ja. wie gesagt. benutze icq seit ca. 2000 und noch nie kam so ein update gedöns..
dann, als ich auf die original paypal seite gehen wollte um infos zu bekommen, minimierte sich die seite von alleine , war aber auch nicht mehr in der task leiste zu sehen.
daraufhin dann halt die spybot scans , bei denen er immer rebootete (und wenn er wg überhitzung runtergefahren wär, was erst 2 mal in 4 jahren der fall war, hätt er denke nich rebootet sondern wär aus geblieben. ausserdem waren nach den neustarts meine privaten firefox daten stets weg. ...

aber wenn du sagst is nix , wird das bloß ne verkettung von zufällen sein..

danke trotzdem an dich !

greets

Hi,

tja, ich mein, nen Blankocheck will ich dir hier auch nicht ausstellen. ;)

Allerdings stehen die Chance wirklich gut, dass du dir nichts eingefangen hast: Die meisten Phishingseiten wollen, dass du deine persönliche Daten auf ihnen eingibst und haben dann was sie wollen, die brauchen dir dann keine Malware mehr zu installieren.
Es besteht natürlich die Möglichkeit, dass über die Seite ebenfalls Malware runtergeladen werden sollte, halte ich allerdings eher für unwahrscheinlich. Der Phisher wird seine Einkommensquelle nicht dadurch aufs Spiel setzen wollen, dass ein Virenscanner seine Seite als bösartig erkennt.

Der Absturz muss nicht unbedingt durch Überhitzung provoziert worden sein, da gibt es auch noch andere Möglichkeiten. Genaueres wüßte man, wenn man die Fehlermeldung hätte. ;)
Man sieht in deinem Log allerdings Überbleibsel der Abstürze: Dateien, die Windows nach dem Absturz keinem Programm mehr zuordnen konnte. (Die Ordner FOUND.001 etc und perfcdata001.dat unter C:) Ich vermute, dass da deine Firefoxeinstellungen auch irgendwie drin gelandet sind.

Lass sicherheitshalber vllt noch folgende Dateien bei virustotal auswerten:
lg myrtille

clean..

thx again ! :-)