"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
"Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
smayer@public-files.de smayer@fantasymail.de
Virenscanner phindet nichts
Leider gar nicht.Zitat von almadi
Solche Phishing-Aktionen erpholgen besonders gerne am Wochenende, und vor der Aktion prüphen die Phisher natürlich darauph ab, dass möglichst viele Virenscanner den Wurm noch nicht phinden.
Am Wochenende ist die Chance am größten, dass niemand erreichbar ist und bis zum nächsten Scanner-Update am Montag bereits genügend Passwörter erphisht wurden.
Die Russen werden wohl erst etwas gegen Phisher unternehmen, wenn die Schweizer Konten einiger hoher Polit-Phunktionäre ausgeräumt wurden!
Wuschel
Wer mir was tut, sei auf der Hut!
Erst einmal schönen Dank für Eure Anteilnahme ! HijackThis hat keine Besonderheiten nach dem Durchlauf des aktualisierten Virenscan gefunden. Ich würde das Ergebnis auch nur ungern posten, da sich im zweiten Abschnitt persöhnliche Informationen über meinen Rechner befinden.
Interessanter ist das Ergebnis von AntiVir:
In der Datei 'E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PWS.Sinowal.Gen' [TR/PWS.Sinowal.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Seit dieser Aktion läuft der InternetExplorer auch wieder ohne Verzögerung. Mich wundert es, dass Antivir nicht sofort angeschlagen hat. Ich mußte Antivir auch deinstallieren und neu installieren, weil sich das Programm nicht updaten ließ.
Zur Phishingseite: Es wird nach ZEHN gültigen TAN Nummer verlangt. Auffällig ist auch, dass die HTML Seite genau die der Postbank ist. Irgendwie wird wohl ein Frame überlagert, aber da kenne ich mich nicht so gut aus.
Falls jemend Interesse an dem Screenshot hat, kann ich die Datei als JPG mailen.
Ein Nachtrag (ich habe mich durchgerungen, das Ergebnis aus HiJackThis ohne IP Adressen zu posten):
Logfile of HijackThis v1.99.1
Scan saved at 15:33:05, on 23.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\WINNT\system32\DRIVERS\CDANTSRV.EXE
E:\WINNT\System32\CTSvcCDA.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\hidserv.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\stisvc.exe
E:\WINNT\System32\Tablet.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
E:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
E:\Programme\Microsoft IntelliPoint\point32.exe
E:\WINNT\system32\USBMonit.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\SEC\MagicTune3.6_Client_pivot\GammaTray.exe
E:\WINNT\system32\rundll32.exe
E:\Programme\SEC\Natural Color\NaturalColorLoad.exe
E:\Programme\PVR Series\Watch.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\WINNT\system32\ZoneLabs\vsmon.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Netscape\Communicator\Program\netscape.exe
E:\Programme\Norton Commander\NC.EXE
E:\Install\HijackThis\HijackThis.exe
N1 - Netscape 4: user_pref("browser.startup.homepage")
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdaptecDirectCD] "E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ICONFIG] E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NewsUpd] E:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [CreativeMixer] E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [IntelliPoint] "E:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Gene USB Monitor] E:\WINNT\system32\USBMonit.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] E:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [REGSHAVE] E:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Color Calibration.lnk = E:\Programme\SEC\MagicTune3.6_Client_pivot\GammaTray.exe
O4 - Global Startup: MagicTune3.6.lnk = E:\Programme\SEC\MagicTune3.6_Client_pivot\MagicTuneTray.exe
O4 - Global Startup: NaturalColorLoad.lnk = E:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Global Startup: Watch.lnk = E:\Programme\PVR Series\Watch.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Link nur für registrierte Mitglieder sichtbar. ]
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - [Link nur für registrierte Mitglieder sichtbar. ]
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - [Link nur für registrierte Mitglieder sichtbar. ]
O17 - HKLM\System\CCS\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINNT\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINNT\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - E:\WINNT\system32\ZoneLabs\vsmon.exe
Hallo almadi,
1) kennst du folgende Dateien?
E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
E:\WINNT\system32\USBMonit.exe
2) Falls nein, bitte auf [Link nur für registrierte Mitglieder sichtbar. ] checken lassen und bei Befund hier das Ergebnis posten.
3) Suche auf Deinem PC folgende Dateien (falls nicht vorhanden, kannst du den Schritt weglassen).
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.dll
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.exe
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00002.dll
Downloade danach bitte Killbox: [Link nur für registrierte Mitglieder sichtbar. ] und deaktiviere die Systemwiederherstellung und starte im abgesicherten Modus:
[Link nur für registrierte Mitglieder sichtbar. ]
Öffne die Killbox. Hier mit der Funktion 'kill on reboot' einzeln die Dateien suchen, nach der letzten Neustart Lösche danach killbox und lösche den Inhalt des Papierkorb.
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
"Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
smayer@public-files.de smayer@fantasymail.de
Wunderbar wenn sich Leute auskennen !
Also, ich habe die Dateien E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
und E:\WINNT\system32\USBMonit.exe durch Virustotal scannenlassen: NICHTS !
Aber, und jetzt kommt der Hammer, Virustotal hat einen Backdoortrojaner (TR/PSW.Sinowal.EO, BackDoor.Generic7.SCJ...u.s.w.) in der Datei ibm00001.dll gefunden. Mein Antivirus nicht !!! Trotz Update heute früh !
Ich jage jetzt die Datei ins Nirvana....
Danke nochmal !
Almadi
Geändert von almadi (23.07.2007 um 19:19 Uhr)
Moderne Trojaner attackieren gezielt AV-Programme und deren Update-Funktionen.
Wir kriegen euch alle!
Hallo allerseits ! Mein Rechner scheint wieder "sauber" zu sein. Das war wirklich ein Reinfall, sich auf Firewall und Antivir zu verlassen. Der Hinweis an alle: Vorsicht walten lassen und lieber zweimal auf die Seite schauen, die man gerade aufgerufen hat, gerade beim Online Banking.
Ich wurde stutzig, als sich mein System folgendermaßen verändert hat:
Der Aufruf einer Seite im InternetExplorer kam mit einer Zeitverzögerung, d. h. der Frame des IE war zu sehen und der Seiteninhalt erst ca. 2 Sekunden später.
Beim Herunterfahren brauchte mein Rechner ungewöhnlich lange und das Fenster "Einstellungen werden gespeichert" war ca. eine Minute oder länger zu sehen.
Seit dem Rausschmiss des Trojaners dauert das Laden von ZoneAlarm sehr lange, bis das Icon in der Task-Leiste auftaucht. Mal sehen, woran das jetzt liegt.
Die Funktion dieses Trojaners ist sehr ausgeklügelt und man sieht, welche kriminelle Energie hinter diesen Programmen steckt, um an das Geld anderer Leute zu kommen.
Oder man lässt das Ergebnis unter folgender Seite analysieren:
http://www.hijackthis.de/
Sicher - aber das ist für User, die davon keine oder kaum Ahnung haben nicht sinnvoll - bei der Vorgehensweise wie hier gesehen, kann ich dann auch meinen Senf dazugeben.
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
"Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
smayer@public-files.de smayer@fantasymail.de
Berechtigungen
Portal
Forum
Wiki
News
Zitieren
Lesezeichen