hallo

ich hatte den trojaner vendor.gen eingefangen.

habe dann das ganze system formatiert & neu aufgesetzt (sauberen backups sei dank), und nun auch zusätzliche vorsichtsmassnahmen getroffen.

ich bemerkte den trojaner nicht sofort (nach ca. 1 tag) - theoretisch kann der angreiffer nun ja meine passwörter, usernames etc ausgespäht haben.

nun meine frage: muss ich nun alle meine passwörter ändern? oder ist das nicht nötig?

danke im voraus für eure antworten.

gruss
martin

Hallo und

Bitte zuerst die Anleitung für neue User abarbeiten -> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erst dann wird sich jemand deinem Problem annehmen!

sorry, ich wusste das nicht von wegen alles in einem post.

unten nun also das log-file.

vielen dank im voraus!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:13:49, on 01.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\MEINNAME\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /FU "C:\DOKUME~1\MEINNAME\LOKALE~1\Temp\E_S8.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6939 bytes
         

..ich finde keinen edit-button, um mein post zu editieren.

unten auch noch der log von anti-maleware.

meine frage ist in prinzip einfach, ob mein system nun aktuell sauber ist oder irgendwo noch etwas umherschwirrt, was ich als laie nicht sehe.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

01.05.2009 22:18:43
mbam-log-2009-05-01 (22-18-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|N:\|)
Durchsuchte Objekte: 124455
Laufzeit: 51 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

...wäre wirklich gut, wenn jemand kompetentes die logs durchsehen könnte, ob da irgendwo noch ein plagegeist rumschwirrt oder alles sauber ist.

falls noch weitere infos benötigt sein sollte, bitte bescheid geben - sollte (lt. anleitung) nun ja alles vorhanden sein.

danke im voraus,

nit.

Hallo nitiram,

Zitat:

Zitat von nitiram

muss ich nun alle meine passwörter ändern?

Müssen mußt Du gar nichts. Schaden kann das allerdings nie und sollte eh von Zeit zu Zeit gemacht werden. Somit ist das doch jetzt ein guter Anlaß auch mit frischen Passwörtern durchzustarten

Dein Log sieht sauber aus.

Folgende Programmen würde ich allerdings deinstallieren/ löschen:
Bonjour
iTunesHelper
Google Desktop
Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
Die von XP reicht vollkommen. Zusätzlich würde ich noch die Windows-Dienste abschalten falls Du nicht hinter einem Router mit NAT sitzt.

Update unbedingt deinen InternetExplorer! (von 6 auf 8).

Um Deine Programme aktuell zu halten hilft Dir PSI.

Abschließend kann ich Dir nur viel Erfolg mit brain.exe wünschen. Bleib sauber

Pete

hallo pete

vielen dank für dein post & deine ausführungen.

einige kurze fragen hätte ich:

1. windows dienste abschalten
auf der verlinkten site steht:
"Wenn Sie Windows XP SP2 haben, brauchen Sie "Windows-Dienste abschalten" nicht unbedingt. Schalten Sie die Windows-Firewall an, das genügt. "Windows-Dienste abschalten" ist primär für Windows 2000 und für Windows XP vor SP2 gedacht."

ich habe ja SP3, dh brauche ich die dienste gar nicht mehr abzuschalten - oder doch?


2.
iTunesHelper kann ich nirgends im software-dialog finden. nehme an, dies ist ein programmbestandteil von iTunes - kann ich den auch separat deinstallieren, ohne iTunes zu beeinträchtigen? ist das sehr wichtig?

Google Desktop
brauche ich oft, greift aber nur auf mails bzw. lokale ebene zu. gibt's sicherheitsvorkehrungen, ohne dass ich google desktop deinstallieren muss?

Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
das nimmt mich wunder - wieso nicht?

vielen dank & grüsse

nit

Hallo Nit,

Zitat:

Zitat von nitiram

"Wenn Sie Windows XP SP2 haben, brauchen Sie "Windows-Dienste abschalten" nicht unbedingt.

Ist hier im Forum immer noch eine Empfehlung. Alles was nicht läuft kann auch nicht missbraucht werden. Guckst DU-> http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:

Zitat von nitiram

2.
iTunesHelper...
... ist das sehr wichtig?

Nein, das ist nur unnütz und bremst evtl. deinen Rechner. Ist nur Kosmetik. Da gibt es noch mehr davon.
Wenn Du willst kannst Du folgende Einträge mit HJT fixen:
Bitte alle Anwendungen inkl. Browser schließen.
Starte HijackThis -> Do a system scan only -> mache vor folgenden Zeilen einen Haken und klicke dann "Fix checked":

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
         

-> Rechner neustarten. Fertig.
Edit: Und wenn Du schonmal dabei bist, fixe doch folgende Einträge auch noch.
Du surfst ja hoffentlich mit Firefox oder Opera und da benötigst Du diese IE-Erweiterungen nicht.

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
         

Zitat:

Zitat von nitiram

Google Desktop

Ist reine Geschmacksache, also ich möchte nicht dass meine Dateien und Mails auf Googleservern landen... Google-Datenschutzbestimmungen

Zitat:

Zitat von nitiram

Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
das nimmt mich wunder - wieso nicht?

Guckst Du ->10 Grundregeln für ein sicheres System unter Punkt3 ist das ziemlich verständlich erläutert.

Gruß Pete

hi pete

danke für deine erläuterungen!

2 letzte fragen habe ich:

1. firewall: die internet-verbindung von mir & meiner freundin läuft über ein d-link di-524 router, und geht von dort aus in das modem (zyxel p-623 ME).

kann ich mich hardwaremässig mit einem firewall schützen?
sorry für diese anfänger-frage, aber mein know-how reicht leider nicht sooo weit in solchen dingen.

2. google desktop
- wenn ich meinen (software) firewall dahingehend eingestellt habe, dass google desktop nur auf die lokale ebene, aber nicht aufs internet zugreiffen kann, dann können doch auch keine mails etc auf google servern landen, oder?

- gibt es eine andere möglichkeit, nach mails auf dem eigenen pc zu suchen?

danke dir!

nit

Zitat:

d-link di-524 router

Super! Der hat doch eine NAT-Firewall eingebaut (Network Address Translation) Einfach einschalten, den Router mit gutem Passwort sichern und fertig.

Zitat:

- gibt es eine andere möglichkeit, nach mails auf dem eigenen pc zu suchen?

Let me Google That for you
Dazu kenne ich mich nicht aus. Keine Ahnung ob da eine sichere Alternative dabei ist. Wahrscheinlich kommst Du von dem Regen in die Traufe.

Wenn Du Google-Desktop weiterhin nutzt, solltest Du auf jeden Fall die Funktion "Suche auf mehreren Computern" deaktivieren!
Apropos:

Zitat:

..dass google desktop nur auf die lokale ebene, aber nicht aufs internet zugreiffen kann...

Da müsstest DU dann auch Google.com verbieten und zukünftig eine andere Internetsuchmaschine nutzen.

Gruß Pete