Kaum ist das eine Problem vorbei, kommt das nächste!!
Hatte mit am Wochenende wie schon im letzten Thread beschrieben Malware eingefangen (Spysheriff)... Hab diese aber wieder schnell gekriegt .

Nun wollte ich heute das erstemal mein Online Banking aufrufen (Postbank)
Also wie folgt: www.postbank.de, dann auf den Reiter Online Banking usw.
(Also nicht in den favoriten gehabt)

Als sich dann die Seite mit Eingabe der Zugangsdaten öffnete, war zusätzlich zu der Eingabe "Kontonummer" und "PIN" noch ein Feld für die "TAN" Eingabe!

Also hab ich (vor Eingabe der Bankdaten) die Homeopage überprüft (Zertifikate, Adresszeile usw.) Alles ist so wie es sein soll. Dann rief ich bei der Postbank an, um zu fragen ob bei denen etwas nicht stimmt, man sagt mir das sie sowas auch noch nie gesehen hätten. Das Problem liegt also an meinem Browser (IE) . Obwohl alle Zertifikate und auch die Adressleiste i.O. sind!! D.h. ich hab irgendwo nen Trojaner sitzen , fragt sich nur wo ???
Hab die "hosts" Datei überprüft, Tojan Remover, Panda AV , Spybot, Hijackthis drüber laufen lassen, OHNE ERFOLG!!!

Dann hab ich ebend mal Firefox installiert, doch da ist alles wie es sein soll !!
Hat jemand noch ne Idee wo der Trojaner sitzt bzw. was ich noch machen kann ??

hier mal das LOG file ...

Logfile of HijackThis v1.99.1
Scan saved at 13:15:39, on 23.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Updates & Warez\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

hallo,

also bei mir ist die eingabe der tan nummer aber normal..
aber wenn du etwas auf dem system hast dann könnte es dieser eintrag sein:

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\

lass diese datei bei jotti online scannen link zu jotti in meiner signatur..
teile das ergebniss hier mit
so also habe mal genau gefragt..
du musst deine tan nummer nur dann eingeben wenn du etwas überweisen oder deine daten ändern willst!!
ansonsten nicht..
scheinst wohl gehackt worden zu sein..

man gut das ich noch keine konotdaten abgeschickt habe!! zumal ich das online banking vorerst gesperrt habe lassen ...

so hier mal das log von Jotti.

Dienst
Auslastung: 0% 100%

Datei: msctl32.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Pakes.A.309 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Pakes gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Win32.Pakes gefunden

mal sehen wenn ich den Eintrag fixe und die Datei lösche ... melde mich gleich nochmal ..

so habs gefixxt ...

Logfile of HijackThis v1.99.1
Scan saved at 16:38:56, on 23.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Updates & Warez\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

doch das Problem besteht weiterhin ... sobald ich auf die site zum einloggen für´s Konto gehe , schreibt er mir ein feld zur eingabe der TAN Nummer...

Hab schon versucht den internet explorer zu deinstallieren, hat bisher aber noch nichts genützt ... hat noch jemand ne IDEE ????

also fixen genügt hier leider nicht mehr..
dieser trojaner besitzt backdoor funktion.
das heisst er ermöglicht dritten den zugriff auf dein system..
und um dieses wieder richtig sicher zu bekommen hilft leider nur ein Neuaufsetzen deines systems..
folge dazu dem link in meiner signatur..
ändere nach dem Neuaufsetzen auf jeden fall alle passwörter..

Das ein Backdoor Programm installiert ist weiß ich ja nun, da mein Bank Konto vorerst fürs Internet banking gesperrt ist, möchte ich gerne mehr über das Backdoor Programm erfahren und lasse es vorerst installiert ...

Da ich immer noch nicht genau weiß wo es installiert ist stellt sich für michz folgende Frage: Wie kriege ich es raus das ein "dritter" nun auf mein System zugreifen kann? Zum Beispiel ist mir heute aufgefallen, das mein PING beim online spielen (Battlefield 2 ) relativ erhöht ist als sonst, bzw. das mein PING wäöhrend des spielens plötzlich shr hoch geht, d.h. auf schnellen Servern (Ping beim Server von etwa 70 ) hatte ich selbst immer einen PING von ca. 20-30, nun steigt mein PING aber seit gestern bis über 400 und geht dann wieder auf 30 runter! Ist das schon ein Zeichen das jemand meine Leitung mitbenutzt ??? (habs natürlich auf verschiedenen GAME SERVERN versucht)

Gibt es ein Programm welches im Hintergrund läuft und mit ALARM gibt?

Mein Rechner hängt an einem Router mit eingeschalteter FIREWALL. Hab versucht das Programm Kaspersky Anti Hacker zu installieren , welches mir ja die Überwachung der einzelnen Ports dokumentiert, sobald ich dies aber installiert habe , kriege ich garkeine Internetverbindung ....

Hat jemand ne IDEE Ü?????????????????ß

Hallo Sunny,
ja,ich habe noch Ideen....
Lade noch tausend programme die dir zeigen sollen was los ist und wenn du die alle drauf hast beginne mit den nächsten Tausend.
Es geht nicht nur um dein Banking,lese mal ,geführt durch Google oder diese Seite hier,was "backdoor" Trojaner alles anstellen können.
Mach die Kiste platt und setze neu auf,mach es schnell,mach es bald ,mach es gründlich !
Irrlicht

was soll denn ein Backdoor Prpgramm alles anstellen ? Mein ganzes bisheriges Leben ausradieren ???? Das Programm öffnet doch nur einen Port um dann zu warten das es von außen aktiviert wird ...
Dann können Programme starten und beenden, Dateien lassen sich übertragen, erstellen, bearbeiten oder löschen. Bzw. durch DDoS Angriffe, PING FLOODING etc. mein System lahm gelegt werden !!! Was solls ...

Es sind noch keine wichtigen Daten auf meiner Festplatte die sowas von "geheim" sind!! Also Ball flach halten ... Mein System kann ich immer noch neu aufsetzen!

Doch ist es nicht sinnvoll zu wissen wie ein Backdoor Programm wirklich funktioniert ?? d.h. wie es arbeitet , welche Ports geöffnet werden bzw. nach wo die Ports geöffnet sind ?? Es ist doch nicht im Sinne des jeweiligen Anwenders für Anti- Viren, -Trojanerprogramme das man sie installiert, und den jeweiligen Trojaner oder Virus nur mit diesem Programm entfernt !!! Zumal das heut zu Tage schon fast nicht mehr klappt bzw. die Software updates nicht mal hinterher kommen !! Sofern Du meiner Logik nachkommst ....

Also welche Programme gibts es denn nun um zu erkunden welche Ports zum Beispiel geöffnet sind ??

Zitat:

Zitat von [Gc]Sunny

Dann können Programme starten und beenden, Dateien lassen sich übertragen, erstellen, bearbeiten oder löschen. Bzw. durch DDoS Angriffe, PING FLOODING etc. mein System lahm gelegt werden !!! Was solls ...

Das siehst du etwas falsch.
Überleg doch mal logisch: Wer hätte Interesse daran dein todlangweiliges 0815-System lahmzulegen? Eben...
Viel wahrscheinlicher: Das System wird im Verbund mit anderen Zombies dazu genutzt, Malware oder andere illegale Materialien (Nazi-Propaganda etc.) zu verbreiten, oder DDos-Angriffe gegen andere Systeme zu starten. [1]

Zitat:

Doch ist es nicht sinnvoll zu wissen wie ein Backdoor Programm wirklich funktioniert ?? d.h. wie es arbeitet , welche Ports geöffnet werden bzw. nach wo die Ports geöffnet sind ?? ...
Also welche Programme gibts es denn nun um zu erkunden welche Ports zum Beispiel geöffnet sind ??

Du willst wissen wie ein Backdoorprogramm funktioniert, es sogar "analysieren", aber dir sind Programme wie "fport" unbekannt? Das passt irgendwie nicht zusammen
(Anmerkung: natürlich ist auf ein solches Programm kein Verlass mehr, wenn es auf einem kompromittierten System läuft. vgl. Rootkits...)


Darum rate auch ich dir keine Zeit mehr zu verlieren & das System schnellstmöglich vom Netz zu trennen.

[1] Ein paar Beispiellinks:
http://de.wikipedia.org/wiki/Botnet
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689

ich kenne fport nicht, und ich hab mir auch von meinem Vorhaben nciht erhofft das ich mal einfach den port schliessen will welches das backdoor Programm benutzt und alles ist wieder beim alten!! Nein, dafür kenne ich mich nicht aus, besser gesagt jegliche Programmiersprachen wie c, c++ etc. sind mir gänzlich unbekannt, trotzalledem wollte ich mich nicht damit zufrieden geben einfach das System neu aufzusetzen und alles ist vergessen, ich wollte eigentlich aus dem Fehler lernen... und lernen heisst nun mal WISSEN!!

Ich denke mal das es mir nichts bringen wird, da das "analysieren" zu tief eingreifen würde ... LEIDER!! Also werde ich morgen mal mein System neu installieren . Und dann mal den Rat (von Euch) befolgen, Firefox installieren nur noch den IE für Updates benutzen, ActiveX Steuerel. nur noch bei Nachfrage etc.....


Achja, warum ist bei mir der PORT 445 offen ??? Eine Windows Ressource benutzt diesen nicht ... !! Und WIN2000 hab ich auch nicht ... siehst du was ich meine !!!