Banking-Trojaner vermutet

  • #1
T

turbofranky

Bekanntes Mitglied
Themenersteller
Dabei seit
05.12.2002
Beiträge
374
Reaktionspunkte
0
Ort
Brieskow-Finkenheerd
Hallo zusammen,

1-2mal die Woche (die Kiste wird jeden Tag mindestens 1x gestartet) passiert Folgendes: kein Zugriff auf Webseiten via FF und IE, Outlook 2003 kann keine Mails holen/senden, kein Zugriff auf die Fritzbox, deren Online-LED aber leuchtet (keine dauerhafte Verbindung). ipconfig /all bringt die erwarteten Infos. Nach einem Neustart des PC verhält sich alles wieder normal. Das geht seit einigen Wochen so. Wollte schon testweise eine andere Netzwerkkarte einbauen. Da das Problem nicht penetranter wurde, unterblieb das erstmal.

Rechner: WinXP Pro auf P4-System, 2GB RAM, SSD für's System, usw. Nod32 und Spybot Search&Destroy sorgen für einigermaßen Sicherheit. Größtes Manko: Mein User läuft wg häufiger Konfig-Änderungen mit Admin-Rechten. Jetzt aber geändert. Da ich unter diesem Konto immer nur die gleichen vertrauenswürdigen Webseiten aufrufe und auch keine wilden Programminstallationen durchführe, habe ich ein gewisses Restrisiko in Kauf genommen. Und: Nein, noch blieben die online geführten Konten unangetastet. Ein c't Bankix - Stick ist in Arbeit.

Nach dem Lesen eines Artikel in der c't 17/11 S 144 habe ich das vermeintliche Netzwerkproblem aus einem anderen Blickwinkel gesehen. Jetzt fiel mir auch auf, dass ich doch zwei Webseiten erreichen und nutzen konnte. Nämlich die Onlinebanking-Seiten der Commerzbank und der Sparkasse. Mehr aber auch nicht. Ein Versuch würde vermutlich zutage fördern, dass wohl auch Online-Banking-Seiten anderer Banken im Fehlerfall erreichbar bleiben.

Meine Vermutung: Irgendetwas konnte sich nicht vollständig auf dem PC festsetzen. Und ich würde gerne herausbekommen, was hier nicht stimmt.

Hat jemand schon mal Ähnliches beobachtet oder sachdienliche Hinweise für die Suche?

Gruß
Franky
 
  • #2
hier schon die tips abgearbeitet? und schläunigst die passwörter an deiner kiste änderen, auch die pin-kennung nei den nabnken. am sichersten wäre eine neuinstallation mit formatierung und dann gleich von anfang an ohne adminberechtigung surfen, beim online-banking den ff im privaten modus starten, dann wird wenigstens nichts zwischengespeichert bzw. im cache abgespeichert ...

gruß

hugo
 
  • #3
An Hijackthis habe ich noch gar nicht gedacht. Dabei habe ich das Tool früher des öfteren eingesetzt. Auch das Protokoll von Spybot könnte Hinweise geben. Muss mir da nur die fehlende Zeit nehmen.
Plattmachen kommt erstmal nicht in Frage. Für den Fall will ich gleich auf ein aktuelles System umziehen.

Franky
 
  • #4
HiJackThis hat mir zwei Prozesse gelistet, die nichts mit installierten Programmen zu tun haben:

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

Was könnte das sein?

Franky
 
  • #5
Hallo Turbofranky

Die zwei fraglichen Einträge gehören zu Windows und werden vom IE benötigt um zu funktionieren! ;)
 
  • #6
Was hast Du den für eine Antivirenschutz installiert ?

Walter

???
 
  • #7
Lesen! ;)
 
  • #8
Walter schrieb:
Was hast Du den für eine Antivirenschutz installiert ?
Zum Vergrößern anklicken....

er hat das installiert und sogar genaue Angaben gemacht , :)
WinXP Pro auf P4-System, 2GB RAM, SSD für's System, usw. Nod32 und Spybot Search&Destroy sorgen für einigermaßen Sicherheit.
Zum Vergrößern anklicken....



Turbofranky schrieb:
An Hijackthis habe ich noch gar nicht gedacht. Dabei habe ich das Tool früher des öfteren eingesetzt. Auch das Protokoll von Spybot könnte Hinweise geben. Muss mir da nur die fehlende Zeit nehmen.
Plattmachen kommt erstmal nicht in Frage. Für den Fall will ich gleich auf ein aktuelles System umziehen.
Zum Vergrößern anklicken....

Hallo Turbofranky

magst Du das Hijack Log noch posten ? Ob man dann etwas noch retten kann ? :-\ (wenn Du Zeit hast ) ;)
 
  • #9
Bis jetzt ist nichts wirklich kaputt, was man retten müsste. Vielleicht nochmal Häufigkeit und Symptome nachlesen.
Das Logfile habe ich in *.jpg umbenannt und hier angehängt. Hoffentlich fällt die Mogelei dem Server nicht auf. Da es einigen Schadprogrammen möglich ist, sich im laufenden System selbst vor AV-Programmen zu verstecken, wird man mit normalen Methoden auch kaum was finden. Ich geh' mal vorsichtig davon aus, dass die Infiltrierung (wenn es eine ist/war) nicht vollständig war und jetzt noch irgendwas hin und wieder zum Zuge kommt - aber letztendlich nur Ärger versursacht und einen Neustart nach sich zieht.

Franky
 
  • #10
Hallo Turbofranky

könntest Du diesen Anhang bitte als eingeklappten Text reinsetzen (Spoiler) , wäre nett von Dir , denn ich mag das nicht gern *downloaden* -
= (öffnen als Anhang) , bin da so. Wäre recht lieb von Dir, danke ! :)
 
  • #11
Meinetwegen auch das. Hast ja Recht, aber manipulierte Textdateien sind sehr selten.

Das Logfile stammt aus dem normalen Betrieb. Muss beim nächsten Fehlerfall dran denken, HiJackThis zu starten. Da sich das nicht provozieren lässt, kann ich nur warten.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:26:21, on 10.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Norton Ghost\Shared\Drivers\SymSnapService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Eazy-Ware\ezSched.exe
C:\Programme\Norton Ghost\Agent\VProTray.exe
C:\Programme\Nuance\PDF Create 7\pdfcreate7hook.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\FRITZ!DSL\StCenter.EXE
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\HiJackThis204.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ZeonIEEventHelper Class - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Nuance PDF - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [StartCCC] c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKLM\..\Run: [EazyScheduler] C:\Programme\Eazy-Ware\ezSched.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [Norton Ghost 15.0] C:\Programme\Norton Ghost\Agent\VProTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PDFHook] C:\Programme\Nuance\PDF Create 7\pdfcreate7hook.exe
O4 - HKLM\..\Run: [PDF7 Registry Controller] C:\Programme\Nuance\PDF Create 7\RegistryController.exe
O4 - HKLM\..\Run: [Nuance PDF Create 7-reminder] C:\Programme\Nuance\PDF Create 7\Ereg\Ereg.exe -r C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\PDF Create 7\Ereg\Ereg.ini
O4 - HKLM\..\Run: [egui] C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
O8 - Extra context menu item: Linkinhalt an vorhandene PDF-Datei anhängen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF-Datei aus Linkinhalt erstellen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: PDF-Datei erstellen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: PDF-Dateien aus den ausgewählten Links erstellen - res://C:\Programme\Nuance\PDF Create 7\Bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra->Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) -
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: GenericMount Helper Service - Symantec - C:\Programme\Norton Ghost\Shared\Drivers\GenericMountHelper.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: SymSnapService - Symantec - C:\Programme\Norton Ghost\Shared\Drivers\SymSnapService.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8901 bytes
 
  • #12
Das ist nett von Dir .

was ich mal fragen mag, da ich ja kein Norton habe:

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe

O23 - Service: SymSnapService - Symantec - C:\Programme\Norton Ghost\Shared\Drivers\SymSnapService.exe


jetzt bin ich etwas überfragt :

C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe

gehört denn das auch zu Symantec? ;)

ansonsten sehe ich auf die Schnelle nichts sonderliches.

da gibt es nur ein paar Sächelchen, die man mal *fixen* könnte ,aber nicht muss.

Was ich noch machen würde, mal das Malwarebytes drüber laufen lassen .



sind hier bitte einige so nett und könnte ich deren Meinung noch wissen, danke dafür !
 
  • #13
Das hat alles seine Richtigkeit. Auf dem Rechner laufen Ghost und NU von Symantec. Liveupdate gehört seit Jahren als zentraler Bestandteil dazu. Die Eset-Einträge gehören zum AV-Programm.

Franky
 
  • #14
Keine Auffälligkeiten mehr. System wird ohnehin auf W7 getauscht.
 
Thema:

Banking-Trojaner vermutet

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben