Seite 3 von 17 ErsteErste 1234513 ... LetzteLetzte
Ergebnis 21 bis 30 von 169

Thema: Postbank Phishing

  1. #21
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.693

    Standard

    Moin almadi, mache bitte folgendes: Dowload HiJackThis und folge der Anleitung: http://hjt.klaffke.de/ Poste das Ergebnis hier. Dann schauen wir weiter, ob und was sich auf deinem Rechner tummelt.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  2. #22
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.448

    Standard Virenscanner phindet nichts

    Zitat Zitat von almadi Beitrag anzeigen
    ...Merkwürdig ist auch, dass der Trojaner trotz AntiVir durchgerutscht ist.
    Leider gar nicht.

    Solche Phishing-Aktionen erpholgen besonders gerne am Wochenende, und vor der Aktion prüphen die Phisher natürlich darauph ab, dass möglichst viele Virenscanner den Wurm noch nicht phinden.

    Am Wochenende ist die Chance am größten, dass niemand erreichbar ist und bis zum nächsten Scanner-Update am Montag bereits genügend Passwörter erphisht wurden.

    Die Russen werden wohl erst etwas gegen Phisher unternehmen, wenn die Schweizer Konten einiger hoher Polit-Phunktionäre ausgeräumt wurden!

    Wuschel
    Wer mir was tut, sei auf der Hut!

  3. #23
    Mitglied Avatar von almadi
    Registriert seit
    09.12.2006
    Beiträge
    89

    Standard

    Erst einmal schönen Dank für Eure Anteilnahme ! HijackThis hat keine Besonderheiten nach dem Durchlauf des aktualisierten Virenscan gefunden. Ich würde das Ergebnis auch nur ungern posten, da sich im zweiten Abschnitt persöhnliche Informationen über meinen Rechner befinden.
    Interessanter ist das Ergebnis von AntiVir:

    In der Datei 'E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll'
    wurde ein Virus oder unerwünschtes Programm 'TR/PWS.Sinowal.Gen' [TR/PWS.Sinowal.Gen] gefunden.
    Ausgeführte Aktion: Datei in Quarantäne verschieben

    Seit dieser Aktion läuft der InternetExplorer auch wieder ohne Verzögerung. Mich wundert es, dass Antivir nicht sofort angeschlagen hat. Ich mußte Antivir auch deinstallieren und neu installieren, weil sich das Programm nicht updaten ließ.

    Zur Phishingseite: Es wird nach ZEHN gültigen TAN Nummer verlangt. Auffällig ist auch, dass die HTML Seite genau die der Postbank ist. Irgendwie wird wohl ein Frame überlagert, aber da kenne ich mich nicht so gut aus.

    Falls jemend Interesse an dem Screenshot hat, kann ich die Datei als JPG mailen.

  4. #24
    Mitglied Avatar von almadi
    Registriert seit
    09.12.2006
    Beiträge
    89

    Standard

    Ein Nachtrag (ich habe mich durchgerungen, das Ergebnis aus HiJackThis ohne IP Adressen zu posten):

    Logfile of HijackThis v1.99.1
    Scan saved at 15:33:05, on 23.07.2007
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\Programme\AntiVir PersonalEdition Classic\sched.exe
    E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    E:\WINNT\system32\DRIVERS\CDANTSRV.EXE
    E:\WINNT\System32\CTSvcCDA.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\hidserv.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\nvsvc32.exe
    E:\WINNT\system32\regsvc.exe
    E:\WINNT\system32\MSTask.exe
    E:\WINNT\system32\stisvc.exe
    E:\WINNT\System32\Tablet.exe
    E:\WINNT\System32\WBEM\WinMgmt.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\Explorer.EXE
    E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
    E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
    E:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
    E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
    E:\Programme\Microsoft IntelliPoint\point32.exe
    E:\WINNT\system32\USBMonit.exe
    E:\WINNT\system32\RUNDLL32.EXE
    E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    E:\Programme\SEC\MagicTune3.6_Client_pivot\GammaTray.exe
    E:\WINNT\system32\rundll32.exe
    E:\Programme\SEC\Natural Color\NaturalColorLoad.exe
    E:\Programme\PVR Series\Watch.exe
    E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
    E:\WINNT\system32\ZoneLabs\vsmon.exe
    E:\Programme\Internet Explorer\IEXPLORE.EXE
    E:\Programme\Netscape\Communicator\Program\netscape.exe
    E:\Programme\Norton Commander\NC.EXE
    E:\Install\HijackThis\HijackThis.exe

    N1 - Netscape 4: user_pref("browser.startup.homepage")
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AdaptecDirectCD] "E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [ICONFIG] E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
    O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
    O4 - HKLM\..\Run: [NewsUpd] E:\Programme\Creative\News\NewsUpd.EXE /q
    O4 - HKLM\..\Run: [CreativeMixer] E:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
    O4 - HKLM\..\Run: [IntelliPoint] "E:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [Gene USB Monitor] E:\WINNT\system32\USBMonit.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] E:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [REGSHAVE] E:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - Global Startup: Color Calibration.lnk = E:\Programme\SEC\MagicTune3.6_Client_pivot\GammaTray.exe
    O4 - Global Startup: MagicTune3.6.lnk = E:\Programme\SEC\MagicTune3.6_Client_pivot\MagicTuneTray.exe
    O4 - Global Startup: NaturalColorLoad.lnk = E:\Programme\SEC\Natural Color\NaturalColorLoad.exe
    O4 - Global Startup: Watch.lnk = E:\Programme\PVR Series\Watch.exe
    O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1140183486788
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - https://java.sun.com/update/1.5.0/ji...ndows-i586.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    O17 - HKLM\System\CS1\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    O17 - HKLM\System\CS2\Services\Tcpip\..\{14B2D46C-FEC3-468E-A51B-DE7826C25180}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINNT\system32\DRIVERS\CDANTSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINNT\System32\CTSvcCDA.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINNT\System32\Tablet.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - E:\WINNT\system32\ZoneLabs\vsmon.exe

  5. #25
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.693

    Standard

    Hallo almadi,

    1) kennst du folgende Dateien?

    E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
    E:\WINNT\system32\USBMonit.exe

    2) Falls nein, bitte auf www.virustotal.com checken lassen und bei Befund hier das Ergebnis posten.

    3) Suche auf Deinem PC folgende Dateien (falls nicht vorhanden, kannst du den Schritt weglassen).

    <Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.dll
    <Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.exe
    <Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00002.dll

    Downloade danach bitte Killbox: http://www.bleepingcomputer.com/files/killbox.php und deaktiviere die Systemwiederherstellung und starte im abgesicherten Modus:
    http://www.bsi.bund.de/av/texte/wiederher.htm

    Öffne die Killbox. Hier mit der Funktion 'kill on reboot' einzeln die Dateien suchen, nach der letzten Neustart Lösche danach killbox und lösche den Inhalt des Papierkorb.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  6. #26
    Mitglied Avatar von almadi
    Registriert seit
    09.12.2006
    Beiträge
    89

    Standard

    Wunderbar wenn sich Leute auskennen !
    Also, ich habe die Dateien E:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
    und E:\WINNT\system32\USBMonit.exe durch Virustotal scannenlassen: NICHTS !
    Aber, und jetzt kommt der Hammer, Virustotal hat einen Backdoortrojaner (TR/PSW.Sinowal.EO, BackDoor.Generic7.SCJ...u.s.w.) in der Datei ibm00001.dll gefunden. Mein Antivirus nicht !!! Trotz Update heute früh !
    Ich jage jetzt die Datei ins Nirvana....

    Danke nochmal !

    Almadi
    Geändert von almadi (23.07.2007 um 20:19 Uhr)

  7. #27
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Zitat Zitat von almadi Beitrag anzeigen
    Ich mußte Antivir auch deinstallieren und neu installieren, weil sich das Programm nicht updaten ließ.
    Moderne Trojaner attackieren gezielt AV-Programme und deren Update-Funktionen.
    Wir kriegen euch alle!

  8. #28
    Mitglied Avatar von almadi
    Registriert seit
    09.12.2006
    Beiträge
    89

    Standard

    Hallo allerseits ! Mein Rechner scheint wieder "sauber" zu sein. Das war wirklich ein Reinfall, sich auf Firewall und Antivir zu verlassen. Der Hinweis an alle: Vorsicht walten lassen und lieber zweimal auf die Seite schauen, die man gerade aufgerufen hat, gerade beim Online Banking.

    Ich wurde stutzig, als sich mein System folgendermaßen verändert hat:
    Der Aufruf einer Seite im InternetExplorer kam mit einer Zeitverzögerung, d. h. der Frame des IE war zu sehen und der Seiteninhalt erst ca. 2 Sekunden später.

    Beim Herunterfahren brauchte mein Rechner ungewöhnlich lange und das Fenster "Einstellungen werden gespeichert" war ca. eine Minute oder länger zu sehen.

    Seit dem Rausschmiss des Trojaners dauert das Laden von ZoneAlarm sehr lange, bis das Icon in der Task-Leiste auftaucht. Mal sehen, woran das jetzt liegt.

    Die Funktion dieses Trojaners ist sehr ausgeklügelt und man sieht, welche kriminelle Energie hinter diesen Programmen steckt, um an das Geld anderer Leute zu kommen.

  9. #29
    X-O
    Gast

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Moin almadi, mache bitte folgendes: Dowload HiJackThis und folge der Anleitung: http://hjt.klaffke.de/ Poste das Ergebnis hier. Dann schauen wir weiter, ob und was sich auf deinem Rechner tummelt.
    Oder man lässt das Ergebnis unter folgender Seite analysieren:

    http://www.hijackthis.de/

  10. #30
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.693

    Standard

    Sicher - aber das ist für User, die davon keine oder kaum Ahnung haben nicht sinnvoll - bei der Vorgehensweise wie hier gesehen, kann ich dann auch meinen Senf dazugeben.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

Seite 3 von 17 ErsteErste 1234513 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen