trojaner in 1und1 rechnung? Einstellungen

[derAndere]

@ bond7

Danke für die schnelle hilfe , ich hoffe es klappt...
Wieso krieg ich solch eine hilfe nichtmal bei "guten" Hotlines?

Die Verdächtigen Datein sind die Druckertreiber für meinen Lexmark...

und die UpdReg.exe ist soweit ich feststellen konnte eine Dateien von meiner Producer Soundkarte.


mfg derAndere

Der Beitrag wurde von derAndere bearbeitet: 10.01.2007, 09:35

[Voyager]

Ok bei der Updreg.exe war ich mir nicht so sicher , das Ding gibts glaube als Updater für Programme aber auch als Malware konnte ich das schon sehen.
Bei dem Rootkit musst du von einer LiveCD auf deinen Rechner zugreifen und diese 3 Dateien löschen
eetvpn.dll
eetvpn.sys
eexvpn.sys
Im Normalmodus und abgesicherten Modus kommst du nicht an die Dateien ran , die andere Möglichkeit wäre ein Rootkitentferner z.b. F-Secure Blacklight daran zu testen.

p.s. blond bin ich sicher nicht, immerhin bist du derjenige der die ganze Schei$$e im Netz angeklickt hatte ohne vorher....[hier steht noch übelstes Zeug]..... !

Der Beitrag wurde von bond7 bearbeitet: 09.01.2007, 23:06

[klaus_ue]

@opfer



Diese Einträge bitte fixen:

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll

O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
Wenn der Eintrag Showdomain links nicht bekannt ist auch fixen:
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

Wenn die Seite nicht bekannt ist auch fixen:

O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - (Rest nicht kopiert, da URL) !

[Voyager]

@opfer
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe


Das solltest du noch Prüfen, vermeintliche (weniger oder unbekannte) Anwendungsprogramme im Windows bzw. im System-bereich sind grundsätzlich erstmal verdächtig , das sind die Hauptinstallationsordner für Malware.

Der Beitrag wurde von bond7 bearbeitet: 09.01.2007, 23:14

[GrinGo]

hallo,

kann sich vielleicht jmd mein hijackthis log anschauen, ob das in ordnung ist?
mein guard nt hat gestern folgendes gefunden:
Win32.HLLW.Gavir.5
Pfad: e\programme\realplay.exe
Prozess:iexplore.exe

lass nun gerade spywaredoctor laufen(gerade heruntergeladen)

habe gestern abend noch 2 online virenscanner suchen lassen, aber die haben nichts gefunden.

es wäre sehr freundlich wenn sich jmd mein log mal anschaut ob da alles in ordnung ist.

danke

GrinGo

Logfile of HijackThis v1.99.1
Scan saved at 08:46:21, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\security\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
E:\Ikarus\GuardNT\GuardNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\BacsTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\IKAutoUp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\tempo\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [SmcService] C:\security\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Guard NT] E:\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-48.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/aktenkoffer/activex/upload_1119.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Guard NT - Ikarus Software Wien - E:\Ikarus\GuardNT\GuardNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\security\Sygate\SPF\Smc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

[tinger]

Hallo,

wie erkenne ich denn eine Rootkit. Mit welchem Programm könnte man das prüfen?

Hier mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:06:07, on 10.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\CC309A.EXE
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\hardcopy\hardcopy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InstantBurn] C:\PROGRA~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = ?
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\2003\PRO\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1145883720301
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = springer-sbm.com
O17 - HKLM\Software\..\Telephony: DomainName = springer-sbm.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = springer-sbm.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = springer-sbm.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

Der Beitrag wurde von tinger bearbeitet: 10.01.2007, 10:14

[christian4u2]

Eine Bitte mal reingeschoben hier: Bitte mit neuen Logs einen eigenen Thread eröffnen!! Ursprünglich ging es in diesem thread um 1&1Rechnungen.....
Ihr habt größere Chancen dass euch geholfen wird, wenn ihr einen eigenen thread eröffnet....und übersichtlicher ist das auch noch nebenbei

[GrinGo]

@christian4u2

sorry,
aber ich hatte die rechnung auch bekommen und war mir nicht mehr sicher; ich hatte auf die datei und ausführen geklickt, bekam aber noch eine warnmeldung( in etwa: "unlizensiert, wollen sie wirklich ausführen?" )und habe dann verneint.

dann wie oben beschrieben

[tinger]

Also, bbei mir ist so eine Rechnung mit dem Betrag 89.99 Euro heute eingetroffen, bei gmx nicht im Spam oder Virenschutz gelandet. Es kam allerdings eine Fehlermeldung, so dass ich mal davon ausgehe, dass etwas installiert wurde. Alle hier beschriebenen Dateien kann ich aber nicht finden. Vielleicht mache ich auch etwas falsch.

TREND MICRO OfficeScan findet auch nichts und der F-Secure Blacklight findet auch nix.

Mein Computer hat beim runterfahren allerdings ein komisches Geräuch gemacht. Darum habe ich das Logfile erstellt und hier in den Thread kopiert.

Der Beitrag wurde von tinger bearbeitet: 10.01.2007, 10:44

[christian4u2]

JA mag ja schon sein das ihr die Rechnung bekommen habt, aber jedes neues LOG bitte in einen neuen thread sonst wird das nachher ein einziges kuddelmuddel und keiner weiß mehr wer wem hilfestellung gibt...

[klaus_ue]

Hallo tinger,



017 alles fixen, falls nicht bekannt.

04 (das ist der Autostart) den bitte mit msconfig aufräumen. Da läuft fast alles, aber kein Sicherheitstool.

zu Rootkit: Scannen z. B. mit F-Secure BlackLight oder mit RootkitRevealer und das Ergebnis posten, im Prinzip wie bei HijackThis.

Sehe gerade, dass Du BlackLight kennst. Lade Dir mal die Trial von Kaspersky runter und scanne damit. Welche Firewall läuft bei Dir



Edit: Gebe Christian recht. Kann das mal ein Mod auseinanderpfücken?

[Voyager]

@GrinGo und Tinger

Die Trojaner bzw. Rootkit aus den Rechnungen habt ihr nicht drauf , allerdings ist es bei der Masse an reininstalllierten Applikationen etwas mühsam etwas maliziöses zu erkennen.
Ikarus und TrendMicro Officescan sind nicht zwangsweise die richtigen AV-scanner. Ich empfehle euch beiden mal Bitdefender und Mcaffee Onlinescan , beide sind meines erachtens recht gut zur Malwareauffindung geeignet .
http://www.bitdefender.com/scan8/ie.html
http://de.mcafee.com/root/mfs/default.asp

Der Beitrag wurde von bond7 bearbeitet: 10.01.2007, 11:17

[GrinGo]

@bond07:

danke, scan jetzt nochmal mit bitdefender.
hab mir heute spyware doctor geholt, welcher folgendes gefunden hat:

Trojan.Proxy.Ranky (Backdoor.Ranky [Symantec]
Proxy-FBSR [McAfee]
Troj/Bloproxy-A [Sophos]
Trojan-Proxy.Win32.Ranky.bp [Kaspersky]
Trojan.Ranck.CZ
Trj/Ranky.HV [Panda])

Gefahrenstufe: Hoch

Beschreibung: Trojan.Proxy.Ranky is a Proxy Trojan which is designed to listen on a specified TCP port for incoming requests. It contacts a remote site to report the infection and then serves as an HTTP proxy, allowing attackers the ability to route HTTP traffic through the infected computer.

wie schlimm ist das?
muss ich noch was anderes machen als das mit spyware doctor zu fixen?


Der Beitrag wurde von GrinGo bearbeitet: 10.01.2007, 11:32

[Yopie]

Ich würde an deiner Stelle nicht lange rummachen, sondern formatieren und neu aufsetzen.

[Caimbeul]

Warum die TAN Liste sperren? Können die aus einer TAN die Liste berechnen? Also die PIN sehe ich ja ein, aber das mit der TAN wäre mir neu. Jedenfalls kenne ich das noch so das ich die auf Papier bekommen habe.

Lucky

Nein das kann man selbstverständlich nicht. TAN Nummern werden zufällig ausgewählt. Allerdings ist der Aufwand ja recht gering und da ich mir über die Wirkungsweise des Trojaners nicht im Klaren bin, mir also die technischen Kenntnisse fehlen, halte ich zumindest bei Online-Banking etwas drastischere Maßnahmen für durchaus gerechtfertigt.

Ich habe - in meiner Zeit als Bankkaufman - mal von einem Trojaner gelesen der in der Lage sein soll die TAN abzufangen und gegen eine andere Nummer zu ersetzen, so das der Nutzer eine weitere TAN eingibt. Mit der so gestohlenen TAN und der PIN wird dann eine gültige Transaktion vorgenommen.

Einige Bankinstitute hatten darauf reagiert indem automatisch nichtgenutze TAN Nummern ihre Gültigkeit verlieren, leider weiß ich nicht mehr welche Institute das waren.

Wie gesagt, bei gültiger PIN/TAN Transaktion ist das Geld weg, daher kann etwas mehr Vorsicht bei einem atkiven Trojaner nicht schaden. Zwingend notwendig ist das natürlich keineswegs. Das nächste mal erkläre ich meine Ratschläge sofort

[GrinGo]

Ich würde an deiner Stelle nicht lange rummachen, sondern formatieren und neu aufsetzen.

hm, laptop läuft seit (3 jahren) ich es habe wunderbar!
habe zwar die daten auf anderen festplatten aber ich würde meine einstellungen doch nie wieder so hinkriegen..
?

[Yopie]

hm, laptop läuft seit (3 jahren) ich es habe wunderbar!
habe zwar die daten auf anderen festplatten aber ich würde meine einstellungen doch nie wieder so hinkriegen..
?

Tja, was soll man dazu sagen? Du weisst aber auch nicht, ob du die Malware komplett entfernen kannst und die Änderungen, die durch die Malware verursacht wurden, komplett rückgängig machen kannst. Du weisst also am Ende nicht, ob dein Rechner wirklich wieder sicher ist.

Mir wäre das Risiko zu groß.

Du kannst natürlich auch das saubere Image von deinem so gut laufenden System wieder einspielen. Aber das hast vermutlich nicht, sonst wärst du ja nicht hier.

Verbuche es als Lehrgeld und beherzige in Zukunft Sicherheitshinweise (nicht als Admin arbeiten, Backupkonzept).

[GrinGo]

Tja, was soll man dazu sagen? Du weisst aber auch nicht, ob du die Malware komplett entfernen kannst und die Änderungen, die durch die Malware verursacht wurden, komplett rückgängig machen kannst. Du weisst also am Ende nicht, ob dein Rechner wirklich wieder sicher ist.

Mir wäre das Risiko zu groß.

Du kannst natürlich auch das saubere Image von deinem so gut laufenden System wieder einspielen. Aber das hast vermutlich nicht, sonst wärst du ja nicht hier.

Verbuche es als Lehrgeld und beherzige in Zukunft Sicherheitshinweise (nicht als Admin arbeiten, Backupkonzept).

du hast ja recht.
danke!
es ist im ersten moment ein schock; und ewig viel arbeit!
aber es wird sich ja lohnen: ein frisches, sauberes system...

und erfahrung