Phishbank.ATD Einstellungen

[jubson2]

Moin Leute!
[Offtopic]Sry wenn nicht alles aus diesem Beitrag unbedingt hierher gehört, ich fande ihn hier am besten platziert[/Offtopic]

Mein Virenscanner eTrust ezAntivirus von CA ( Freeware ) zeigte mir Folgendes an:
2007/03/16 13:52:06.742 Dateiinfektion: 辀 䎦甮㣆퇵㐉䍓C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP256\change.log.10 ist ein HTML/Phishbank.ATD-Trojaner.
aber Bereinigen wollte es nichts. Ist es richtig, dass das ein Trojaner zum ausspionieren von Bankdaten o.Ä. ist? Nun bin ich mir auch nicht sicher, ob der Trojaner schon aktiv ist, da die Datei nicht geöffnet wird, wenn eine Datei verseucht ist oder gibt es selbstausführende Trojaner? Spybot hat überhaupt nichts dazu gesagt.

Hier mal mein Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:39:55, on 17.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\DitExp.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Symphony\maestro.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\HIJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1155648194462
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: switcher - C:\WINDOWS\SYSTEM32\sw_note.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Symphony Switcher Service - Unknown owner - C:\Programme\Symphony\sw_serv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zut Zeit des Scans habe ich alle Aktionen beendet bis auf den MediaPlayer, 1x IE und Hijackthis.
Das einzige was mir auffiel war, das überall Ipod auftauchte. Ich habe ledenlich auch drängen eines Freundes Itunes auf meinem PC, weil man damit so toll Musik hören könne. Schon seit langem benutze ich Itunes aber nicht mehr.


Was nun? Geraten wurde mir: Die Systemwiederherstellung abschalten, Computer neu starten, den AVScanner updaten und anschliessend noch mal zu scannen.
Ich glaube ich sollte mein Antivirenprogramm wechseln. Was meint ihr?

Ich würde mich über auch für einen relativ unwissenden PCNutzer verständliche Antworten freuen:rolleyes:.
Danke für eure Hilfe!
jubson2

[Yopie]

Was nun? Geraten wurde mir: Die Systemwiederherstellung abschalten, Computer neu starten, den AVScanner updaten und anschliessend noch mal zu scannen.

Und? Was ist das Ergebnis?

Ich glaube ich sollte mein Antivirenprogramm wechseln. Was meint ihr?

Warum willst du es wechseln?

[Kenshiro]

Servus,

man hat Dir das auf Trojaner Board geraten Hast Du das gemacht was nochdigger empfohlen hat
Na ja was Dein AV betrifft:
Wenn´s kostenlos sein soll, dann Free AV

[jubson2]

Moin,

Nein noch nicht, zuerst wollte ich wissen, ob nicht ein vernünftiges Antivirenprogramm, dass auch ohne kann aber wenn ihr meint werde ich es Morgen versuchen.

Danke schön für den Freeware Tipp, wenn es nötig ist, wäre ich auch dazu zu bewegen Geld auszugeben.

Mfg jubson2

[Kenshiro]

Moin,

Nein noch nicht, zuerst wollte ich wissen, ob nicht ein vernünftiges Antivirenprogramm, dass auch ohne kann aber wenn ihr meint werde ich es Morgen versuchen.

Danke schön für den Freeware Tipp, wenn es nötig ist, wäre ich auch dazu zu bewegen Geld auszugeben.

Mfg jubson2

Muss Du nicht unbedingt: AntiVir ist kostenlos
Oder Du nimmst die Personal Edition -> 20,00 /Jahr

[Yopie]

Software kann Wissen nicht ersetzen.

Ob in der Systemwiederherstellung eine Spam-E-Mail gespeichert ist, die dich auf Phishingseiten führen will, ist für die Sicherheit deines Rechners zunächst mal belanglos. Sie ist allerdings dann nicht mehr belanglos, wenn du auf solche Mails reinfallen würdest. Und wenn du auf solche Mails reinfallen würdest, würde dir auch ein AV-Programm letztendlich nicht helfen.

Also: Was du für ein AV-Programm nutzt, ist egal. Investiere das Geld lieber in Zeit, um dir Wissen anzueignen. Z.B. in Foren wie diesem oder dem Trojaner-Board.

[jubson2]

Heißt das, dass das die Speicherung einer gelöschten Spammail ist? Nein Spammails öffne ich mit Sicherheit nicht.

Aber ich bedanke mich schon einmal und werde morgen, dem Rat aus dem Trojaner-Board folgen.

@Yopie: Das habe ich vor aber nicht im Trojaner-Board, sondern hier:D.

Mfg jubson2

[Sasser]

Heißt das, dass das die Speicherung einer gelöschten Spammail ist? Nein Spammails öffne ich mit Sicherheit nicht.

Aber ich bedanke mich schon einmal und werde morgen, dem Rat aus dem Trojaner-Board folgen.

@Yopie: Das habe ich vor aber nicht im Trojaner-Board, sondern hier:D.

Mfg jubson2

Na denn erstmal herzlich WILLKOMMEN.

[jubson2]

Moin Leute!

Ich wollte eigentlich heute die Systemwiederherstellung abschalten und den Pc neustarten, allerdings drängte sich mir noch die wichtige Frage auf was eigentlich dann mit dem Pc passiert. Da ja der Trojaner/ die Phishingmail gelöscht wird, müssten dich eigentlich auch andere Daten verloren gehen? Oder ist die Systemwiederherstellung nur zum Wiederherstellen von Dateien, die irgendwelchen Prossesen/Programmen gelöscht wurden?

Mfg jubson2

[hypnosekroete]

Deine eigenen Dateien ect sind nicht betroffen: <Systemwiederehrstellung>

[jubson2]

Ok ich hab folgendes gemacht:-Systemwiederherstellung aus
-in den abgesicherten Modus ( ist es normal, dass dann der PC sehr langsam ist? )
-Avira Antivir durchlaufen lassen
-Neustart
-Systemwiederherstellung an

Ergebnis:
-Ein Objekt unter Quarantäne ( ProDetector.exe; weil mit ungewöhnlichen Laufwerkpacker komprimiert )
Löschen oder Wiederherstellen?

-Wenn ich C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP256\change.log.10 suche, erscheint:
C:/.../RP256 bezieht sich auf einen Pfad der nicht verfügbar ist. Dieser kann auf der Festplatte dieses Computers oder im Netzwerk sein. Stellen Sie sicher, dass der Datenträger korrekt eingelegt ist, bzw. dass eine Verbindung mit dem Internet oder dem eigen Netzwerkbesteht und widerholen Sie den Vorgang. Es kann sein, dass Informationen in einen anderen Pfad verschioben wurden, wenn der Pfad weiterhin nicht ermittlet werden kann.
Was soll das schon wieder heißne ?

Mfg jubson2

[hypnosekroete]

Ok ich hab folgendes gemacht:-Systemwiederherstellung aus
-in den abgesicherten Modus ( ist es normal, dass dann der PC sehr langsam ist? )
-Avira Antivir durchlaufen lassen
-Neustart
-Systemwiederherstellung an

Das' gut!

Ergebnis:
-Ein Objekt unter Quarantäne ( ProDetector.exe; weil mit ungewöhnlichen Laufwerkpacker komprimiert )
Löschen oder Wiederherstellen?

Gute Frage! Was hat Avira denn daran auszusetzten? Wie war der Pfad der Datei? Weisst Du wozu die Datei gehört? Müsste Avira protokollieren, wo und wie kann ich Dir leider nicht sagen, da ich Avira schon lange nicht mehr in Aktion gesehen habe..
Im Zweifelsfall aus der Quarantäne entlassen (drauf achten, wo die Datei landet; NICHT AUSFÜHREN!) und mal bei <Virustotal> hochladen, Ergebnis?

-Wenn ich C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP256\change.log.10 suche, erscheint:[...]
[Was soll das schon wieder heißne ?

Warum suchst Du nach dem changelog?
Das es nicht gefunden wird, liegt daran, das der Pfad [C:\System Volume Information\_restore*] auf einen Wiederherstellungspunkt verweist. Die hast Du gelöscht, als Du die Systemwiederherstellung deaktiviert hast. Das war das Ziel der Operation...

Der Beitrag wurde von hypnosekroete bearbeitet: 18.03.2007, 16:04

[jubson2]

Der Pfad lautet C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ProDetector.exe aber wozu die Datei gehört kann ich dir nicht sagen. Avira sagt als Begründung:

Die Datei ist mit einem ungewöhlichem Laufwerkpacker kompri

.

Was ich bei Avira nicht verstehe ist, dass er mir bei einem Systemscan 100 Warnungen gibt aber ihn das auch nicht weiter kümmert und naja mit dem Protokoll ist das auch leicht schwierig, da dies recht lang ist.

Mfg jubson2

[hypnosekroete]

Dann lad Dir mal den ccleaner runter: http://www.ccleaner.com/ und lösche Deine ganzen temporären Dateien.

Die prodetector.exe finde ich schon verdächtig, wenn die im temp-Ordner liegt, lass sie mal in Quarantäne, man weiss ja nie und in der Quarantäne kann sie nichts anrichten, wenn Du nichts dummes machst.
Mich würde aber schon interessieren, was virustotal dazu sagt...
So laufzeitgepackte Programme sind häufig der Grund für false positives.

Und mit den 100 Warnungen und dem langen Protokoll: Da muss man halt durch. Nicht jede Warnung ist ja kritisch, das meiste dürften gelockte Dateien sein...

Der Beitrag wurde von hypnosekroete bearbeitet: 18.03.2007, 17:54

[jubson2]

Moin

Danke für den Tipp mit dem CCleaner, eine Frage hab ich allerdings: Kann ich damit auch irgendwas kaputt mach bzw. Wie muss ich ihn einstellen?
Google hat mir nichts ausgespuckt.

Wo wir grad bei dummen Fragen sind:
Wenn ich bei Avira auf Prüfen gehe, habe ich ja verschiedene Auswahlmöglichkeiten. Wenn ich nun meinen kompletten PC durchsuchen lassen will muss ich dann alles nacheinander starten oder gibt es eine Universalsucche?
Omg bin ich unfähig .

Mfg jubson2

[hypnosekroete]

Mit dem ccleaner musst Du Dir schon große Mühe geben, irgendwas zu zerschießen (mir fällt z.Zt keine Möglichkeit ein...)

Das einzige, was passieren kann ist das einige, nennen wir's mal Komfort-Einstellungen nicht mehr da sind (Eigene Menüanordnungen, Ordnerdarstellungsoptionen, Verlaufslisten).
Wichtig auch, vor dem Regristry-Cleaning ein Backup zu machen, falls doch mal was daneben geht. Eigentlich frägt er da aber per default immer nach.
Auf der HP vom ccleaner gibts ne Quicktour, eine FAQ-Ecke, da findest Du bestimmt auch noch Infos.

Die Avira-Frage verstehe ich nicht so ganz, was aber mit Sicherheit daran liegt, das ich Avira schon lange nicht mehr benutze.
Wenn es um die Orte geht, an denen gesucht werden soll würde ich sagen: Alle Festplatten. CD's/DVD's und USB-Geräte nur nach Bedarf (Also zB wenn der Bruder deines Freundes, dessen Schwester 'ne Freundin hat, deren Vater früher mal sein Fußballtrainer war und der ein ganz ganz superspitzenmäßiges Programm mitgebracht hat, das man dringend braucht, dann! )

Wenns darum geht, wonach gesucht werden soll (Welche Schadprogramme: Viren, Trojaner; Spyware, Dialer uswusf) würde ich potentiell einfach mal sagen: Alles.
Dazu gibt's aber zu Bedenken, das Avira (damals war's noch Antivir, aber schon mit Regenschirm) auch mal das Moorhuhn als Schadprogramm identifiziert hat...

Der Beitrag wurde von hypnosekroete bearbeitet: 07.04.2007, 00:11