PHISH/paypalfraud.T

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Guybrush, 19.02.2007.

  1. #1 Guybrush, 19.02.2007
    Guybrush

    Guybrush Neuer Benutzer

    Dabei seit:
    19.02.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo,
    ich habe folgendes Problem:
    meine Freundin ist mit meinem Rechner (SYstem: Windows XP) auf'ner gefakten ebay Seite gelandet und bekommt seitdem einen ganzen Haufen Schrottmails. Vor zwei Tagen war in ihrem Thunderbirdpostfach eine Pishing-Mail, welcher Avira als oben genannten Virus identifizierte und löschte.
    Der Haken ist, seitdem spinnt meine Firewall ("Windows-Firewalleinstellungen können nicht angezeigt werden, da der zugehörige Dienst nicht ausgeführt wird"), der Audiotreiber verschwindet nach maximal zwei Minuten und mein Design ändert sich permanent zwischen Windows XP und Windows 95. Avira und Spybot finden aber nichts mehr. Der Security-Taskmanager meckert auch nicht. Ich poste folgend mal das Hijackthis Protokoll, vielleicht kann mir jemand helfen.

    Logfile of HijackThis v1.99.1
    Scan saved at 13:51:01, on 19.02.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
    c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    c:\apps\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\apps\Powercinema\PCMService.exe
    C:\apps\ABoard\ABoard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\DAEMON Tools\daemon.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\apps\ABoard\AOSD.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Adobe\3.0\Apps\apdproxy.exe
    C:\APPS\SMP\SmpSys.exe
    C:\Programme\Creative\Shared Files\CamTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
    C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\saturn\LOKALE~1\Temp\Rar$EX00.391\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [PCMService] "c:\apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\3.0\Apps\apdproxy.exe"
    O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
    O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?a4e2a081b04d4fe89630c5daa42d08da
    O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?a4e2a081b04d4fe89630c5daa42d08da
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - file://C:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

    ?(
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 wolfheart, 19.02.2007
    wolfheart

    wolfheart Erfahrener Benutzer

    Dabei seit:
    29.01.2007
    Beiträge:
    2.954
    Zustimmungen:
    0
    Hallo Guybrush,

    - alle Cookies/Temporäre Intentdateien löschen
    - Cache Deines Browsers lösche
    - wenn Du einen Link abgespeichert hast zu Deinem Ebayzugang (z.B. unter Favoriten), dann bitte auch den löschen
    - aus Deinen Emailkasten alles raus was nicht vertrauenswürdig ist
    - Systemwiederherstellung deaktivieren
    - nochmals kompletten Festplattencheck von einem gescheiten Antivirenprogramm z.B.Kaspersky oder G Data(im Notfall solltest Du meinetwegen nochmal AntiVir benutzen)
    - wenn alles in Ordnung ist Neustart
    - Systemwiederherstellung aktivieren

    ....sollte Abhilfe schaffen
     
  4. #3 Guybrush, 19.02.2007
    Guybrush

    Guybrush Neuer Benutzer

    Dabei seit:
    19.02.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Bin wie beschrieben vorgegangen, aber auch Kaspersky hat nichts gefunden, das Problem besteht immernoch.
     
  5. EazyE

    EazyE Erfahrener Benutzer

    Dabei seit:
    30.08.2006
    Beiträge:
    3.257
    Zustimmungen:
    0
  6. #5 Guybrush, 19.02.2007
    Guybrush

    Guybrush Neuer Benutzer

    Dabei seit:
    19.02.2007
    Beiträge:
    5
    Zustimmungen:
    0
    OK, wenn ich das richtig interpretiere, ist meine wininet.dll infiziert, korrekt? Wie kann ich sie auswechseln oder desinfizieren?

    SmitFraudFix v2.142

    Scan done at 18:17:06,38, 19.02.2007
    Run from C:\Dokumente und Einstellungen\saturn\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\saturn


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\saturn\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\saturn\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Die derzeitige Homepage"


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

    »»»»»»»»»»»»»»»»»»»»»»»» End
     
  7. #6 Guybrush, 19.02.2007
    Guybrush

    Guybrush Neuer Benutzer

    Dabei seit:
    19.02.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Ich habe noch versucht mit AVG Spyware was zu finden und die wininet.dll loszuwerden - mit killbox zu löschen. Hat natürlich nicht funktioniert. Also habe ich sie durch eine neue wininet.dll ersetzt. Das Problem besteht aber weiterhin noch. Habe mitlerweile ca. 10 Antiviren und Spyware Programme über den Rechner laufen lassen. Langsam gehen mir die Ideen aus.
     
  8. #7 wolfheart, 20.02.2007
    wolfheart

    wolfheart Erfahrener Benutzer

    Dabei seit:
    29.01.2007
    Beiträge:
    2.954
    Zustimmungen:
    0
    Hey Guybrush,

    also nach den letzten Recherchen soll es sich angeblich (?) um eine positive Falschmeldung handeln, die gaaaaaanz oft mit Avira und Thunderbird auftaucht. Sprich, eine gute Datei soll ein Bösewicht sein, ist es aber nicht. Deshalb nochmal ganz kurz diese Abfolge:

    - Antivir updaten (ich denke, das hast Du schon gemacht)
    - das hier mal lesen
    http://forum.antivir-pe.de/thread.php?postid=140768

    - und dann hier dies benutzen
    http://www.avira.com/de/support/verdachtige_dateien_und_sonstige_uploads.html

    und auch hier sind noch eventuell einige Tipps zu Deinem Problem
    http://forum.hijackthis.de/showthread.php?t=20888


    Zumindest von AVIRA sollte eine ausreichend erfolgreiche Antwort kommen ;)
     
  9. #8 Guybrush, 20.02.2007
    Guybrush

    Guybrush Neuer Benutzer

    Dabei seit:
    19.02.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo,
    ich habe alles nochmal durchlaufen. Es werden keine Viren, Probleme etc. mehr gefunden. Auch nicht von Panda, etc. Ich vermute, dass das Virus einfach eine Datei verändert hat und der Rechner deshalb so instabil läuft (Audiotreiber verschwindet kurz nach dem Start, Firewall entzieht sich meinem Zugriff (aber erst nachdem auch der Audiotreiber weg ist), es können keine Microsoft Sicherheitsupdates runtergeladen werden, Scandisk nur unter DOS möglich, Desktop-Design läuft instabil und ändert sich dauernd). Ich forsche weiter (suche mich seit drei Tagen stundenlang durch Foren, habe wahrscheinlich mittlerweile 15 Scanprogramme durchlaufen lassen und raufe mir die Haare), wenn ich noch was feststelle melde ich mich.
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 wolfheart, 20.02.2007
    wolfheart

    wolfheart Erfahrener Benutzer

    Dabei seit:
    29.01.2007
    Beiträge:
    2.954
    Zustimmungen:
    0
    Tja, sorry, dann bleibt mir nur noch viel Ausdauer und Glück zu wünschen.....

    .....wäre am Schluß trotzdem interessant was Dir da im Endeffekt so den Rechner zerlegt hat

    MfG
     
  12. #10 David Rode, 20.02.2007
    David Rode

    David Rode Guest

    Hole dir Kaspersky oder GData, AntiVir ist Müll....
    Melde einfach diese Mail bei www.ebay.de (Sichereits FAQ's oder so)
    da steht eine E-Mail Adresse dortin sollst du halt die dinger wegschicken ;).
     
Thema:

PHISH/paypalfraud.T

Die Seite wird geladen...

PHISH/paypalfraud.T - Ähnliche Themen

  1. Virus PHISH/Bankfrau.BH.2

    Virus PHISH/Bankfrau.BH.2: Hallo Hab da folgendes Problem, immer wenn ich den Internetexplorer öffne kommt nach kurzer Zeit die Warnung das ein Virus gefunden wurde und...