Infostealer.LDPinch bei Login www.action-soccer.de (und nur da)

#0
04.08.2007, 09:57
...neu hier

Beiträge: 6
#1 Guten Morgen.
Bei o.g. Seite bekomme ich beim Login von Norton AV eine Virusmeldung(Infostealer.Ldpinch, vorher war's Infostealer.Banpaes).Anschließend wird dieser isoliert,logisch.Nun komme ich nicht mehr auf die Seite.Beim Login-Versuch erscheint:
"Parse error: parse error, unexpected T_STRING, expecting ',' or ';' in /homepages/42/d139619840/htdocs/action-soccer/index.php on line 65
"

Ich habe vorher den Virus mal wieder aus der Quarantäne gelöscht, um sicher zu gehen,dass dies ausschließlich bei action-soccer passiert.Login bei web.de ok, aschließend bei action-soccer wieder Virusmeldung(wieder isoliert)

Beim Aufbau der Seite habe ich unten im IE mitverfolgt, das die Virenmeldung erfolgte als die Seite folgendes versuchte aufzubauen:"Google-Counter.......etc." Sehe ich nun nicht mehr ! Dafür "Fehler in der Seite".

Habe dann dieses Hijackthis runtergeladen und füge dies nun mal ein mit der Bitte um Hilfe.Im voraus schon mal vielen Dank !

Logfile of HijackThis v1.99.1
Scan saved at 21:14:27, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\mgabg.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\WinSpeedUp\WinSpeedUp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Privat\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0151F64-945E-4CE5-9DB6-DE1E98545041}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: rlx5dom1 - rlx5dom1.dll (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts-Manager (NISUM) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe


Achja

habe selbst grade was gefunden:

O20 - Winlogon Notify: rlx5dom1 - rlx5dom1.dll (file missing)

Diese Dll-Datei wurde von Norton genannt und ich hab diese dann gelöscht.
Gruss OJ
Dieser Beitrag wurde am 04.08.2007 um 10:02 Uhr von Oilers-Jupp editiert.
Seitenanfang Seitenende
05.08.2007, 20:22
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

korrekt!
Sicherheitshalber noch mit einem anderen (Onlinescanner) suchen lassen!

Chris
Seitenanfang Seitenende
06.08.2007, 13:35
...neu hier

Themenstarter

Beiträge: 6
#3 Danke für die Bestätigung Chris ! Welchen zusätzliche Online-Scanner kann ich nehmen?
Was mich wundert bei der ganzen Sache.Ich hatte nach dem Scan oben,nochmals beim Einloggen auf action-Soccer die Virenmeldung mit Isolation(hatte den vorher rausgelöscht, um zu sehen, ob dies nur beim einloggen auf action-soccer passiert)

Hab also beim 2ten Mal keinen Scan reinkopiert und anschl.wieder den Infostealer aus der Quarantäne gelöscht.Bekomme nun aber keine Meldung von Anti-Virus mehr beim Gesamt PC-Check !
Kann auch keine aufälligen Einträger mehr erkennen.Hier nochmal einen aktuellen Scan von heute zur Sicherheit;)O8 und O17 ??? Was bedueten die bitte? )

Logfile of HijackThis v1.99.1
Scan saved at 13:39:45, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\mgabg.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\ATRACK.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\WinSpeedUp\WinSpeedUp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0151F64-945E-4CE5-9DB6-DE1E98545041}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts-Manager (NISUM) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe

DAnke für erneute Hilfe oder Bestätigung
Seitenanfang Seitenende
07.08.2007, 08:13
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

017 ist der Nameserver (Internet bzw. TCP/IP, ist aber OK), O8 zusätzliche Einträge ins Kontextmenü des IE bei Rechtsklick.

Lass den hier mal drüberlaufen:
Ewido Micro: http://downloads.ewido.net/ewido_micro.exe

Das meiste werden Cookies sein, die können gelöscht werden, falls
noch was anderes auftauchen sollte, bitte LOG posten!

Chris
Seitenanfang Seitenende
08.08.2007, 14:35
...neu hier

Themenstarter

Beiträge: 6
#5 Ja,danke Chris hab hier gemacht.Hier zur Vorsicht das Ergenbis beim Edido-Scanner.Sag mal, bei Dir steht unten: " Sie ist wieder DA" Bist Du ein Mädchen?*freundlichlacht* Wenn ja, ich finds klasse,da die meisten Frauen überhaupt keine Ahnung haben, im Gegensatz zu Dir.Iss aber auch ned schlimm,wenn Du ein Mann bist..:-).So nun genug und hier nu the MG-Results:
(hab ich nun online gescannt.Mehr war nicht.Die Tracking -Cookies ist klar, die meckert mein AdAware schon immer deutlich an,gelöscht)Danke !!!


ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Atdmt
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@atdmt[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@ehg-fifa.hitbox[1].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@hitbox[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@komtrack[2].txt
Risk: Medium

Name: TrackingCookie.Overture
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@overture[1].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Dokumente und Einstellungen\Privat\Cookies\privat@tradedoubler[2].txt
Risk: Medium
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: