habe auf meinem PC trotz Festplatte löschen immer noch Trojaner, die auch über verschiedene Virenscanner wie Kasperski etc. etc. nicht gefunden werden. Tastatureingaben werden - soviel ich ersehen und / oder vermuten kann, alle - mitgelesen, besuchte Internetseiten sind ersichtlich. email accounts sind trotz x-maliger password-Änderungen samt Sicherheitsabfragenänderungen immer noch einsehbar (anhängliche Menschen treiben dort ihr Unwesen). benutze fritz box für Internetzugang. ein schon mal identifizierter Trojaner war : HTML.bankfraud.oe, der in einer von mir erstellten pdf.Datei in mein Postfach "eingebaut" wurde. wer kann mir Tipps geben, wie ich der Sache + was da genau los ist, auf die Spur komme ?

Zitat:

Tastatureingaben werden - soviel ich ersehen und / oder vermuten kann, alle - mitgelesen, besuchte Internetseiten sind ersichtlich. email accounts sind trotz x-maliger password-Änderungen samt Sicherheitsabfragenänderungen immer noch einsehbar

Wie hast du denn das festgestellt?
Aber poste erstmal von der Kiste ein Hijackthis-Logfile.

Hallo Cosinus, sehe, daß Du online bist. sehr lieb, daß Du gleich geantwortet hast. confused brauchst Du nicht zu sein, festgestellt anhand der Tatsache, daß in meinen email accounts emails verschwinden ohne mein Zutun. Habe Kobolde zu Gast. auch auf einem chat sehe ich, daß Reaktionen auf mein tägliches Tun auf meinem PC erfolgen. Habe wohl einige Leute vorher zu gut unterhalten, die mich jetzt nicht mehr loslassen. Ein Hijack This log werde ich machen, muß aber als erstaunter Laie erstmal nachgucken, wie. spätestens morgen findest Du es hier. Vielen Dank erstmal. Bin auch Anderen für Tipps dankbar.

HijackThis - bebilderte Anleitung

Den Link hättest du auch in meiner Signatur gefunden.

Da die Virenscanner nicht anschlagen, wären Scans sowohl mit F-Secure Blacklight > F-Secure Blacklight als auch mit Gmer unter Umständen hilfreich.

Hallo Ihr beiden,

nett, daß ihr um diese Uhrzeit noch aktiv seid. Hier ist mein logfile. würde mich sehr freuen, wenn ihr (oder auch gerne jemand anders) was damit anfangen kann ! Ich melde mich morgen abend noch mal. Und vielen Dank erstmal.

Logfile of HijackThis v1.99.1
Scan saved at 02:35:29, on 10.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\WINNT\system32\sistray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\"Name"\LOKALE~1\Temp\Rar$EX37.853\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162128702843
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4935/mcfscan.cab
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe

Hallo MightyMarc, Deine empfohlenen Programme werde ich umgehend auch noch ausprobieren, die fehlen noch in meiner Sammlung. Vielen Dank.

Das einzig Schräge das ich sehe, ist folgender Eintrag:

C:\WINNT\system32\regsvc.exe

Nun kenn ich mich mit Windows 2000 so gar nicht aus, aber mMn sollte dieser Prozess nicht bei einem Heimanwender laufen. Mal schauen was Blacklight und GMER finden.

Hallo MightyMarc, vielen Dank nochmals. Ich bin gerade dabei. F-Secure sagt : nichts Verborgenes gefunden. Soll ich die Liste der exes einfach trotzdem hier veröffentlichen ? Gmer probiere ich sofort aus + poste den scan dann hier. Danke !!! Falls Dir (oder sonst jemand) zur "verdächtigen" Datei aus meinem Logfile noch etwas einfällt, sag es mir. Ich schaue auch noch mal bei google nach.

Zitat:

Zitat von Antonia.

Soll ich die Liste der exes einfach trotzdem hier veröffentlichen ?

Im Zweifelsfall: ja

Zitat:

Falls Dir (oder sonst jemand) zur "verdächtigen" Datei aus meinem Logfile noch etwas einfällt, sag es mir.

Die Datei (der Prozess) an sich ist eher nicht verdächtig sondern sollte tatsächlich der Windowsprozess sein, der er vorgibt zu sein. Du kannst die datei aber bei http://www.virustotal.com/en/indexf.html oder Online Malware scan hochladen und prüfen lassen. Bitte die Größenangabe (bei Virustotal; steht unterhalb des Reports) beim Posten des Reports angeben.

Wegen der Passwörter: kann es vllt. sein, dass du extrem einfach Passwörter verwendest?

So, hallo Cosinus und MightyMarc, bin ganz stolz, daß ich es geschafft habe. Hier das Ergebnis von Gmer - bedeutet das, daß ich meine dort aufgeführten Dateien besser lösche ? denn das würde mir (soweit es Dateien von mir selbst sind) nichts ausmachen, es könnte durchaus sein, daß sich darin mittlerweile irgendetwas eingenistet hat) :

GMER 1.0.11.11384 - http://www.gmer.net
Rootkit 2007-01-10 04:31:04
Windows 5.0.2195 Service Pack 4


---- System - GMER 1.0.11 ----

SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[248]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[249]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[250]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[251]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[252]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[253]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[254]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[255]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[256]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[257]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[258]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[259]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[260]

INT 0x31 ? FD851044
INT 0x39 ? FD9059A4
INT 0x3B ? FD84EB44
INT 0x3C ? FD8531C4
INT 0x3E ? FD9009E4
INT 0x3F ? FD932DC4

---- Threads - GMER 1.0.11 ----

Thread 8:92 FD889A20
Thread 8:96 FD869C60
Thread 8:100 FD869C60
Thread 8:132 FD889A20
Thread 8:136 FD889A20

---- Files - GMER 1.0.11 ----

ADS C:\“Name“\“Name“\Bewerbung Siexyz Dokumente\Unterschrift3.png: Q30lsldxJoudresxAaaqpcawXc
ADS C:\“Name“\“Name“\Bewerbung xyz Dokumente\Unterschrift3.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\“Name“\“Name“\Diverse „Name“\Bild1.jpg: Q30lsldxJoudresxAaaqpcawXc
ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.png: Q30lsldxJoudresxAaaqpcawXc
ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift2.png: Q30lsldxJoudresxAaaqpcawXc
ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift2.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\”Name”\”Name”.bak\”Name”\Bewerbung Siexyz Dokumente\Unterschrift3.png: Q30lsldxJoudresxAaaqpcawXc
ADS C:\“Name“\“Name“.bak\“Name“\Bewerbung Siexyz Dokumente\Unterschrift3.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS ...

---- EOF - GMER 1.0.11 ----

Fällt Euch dazu was ein ? Die Liste von F-Secure kann ich auch noch hier einstellen, falls das Euch etwas sagen könnte oder anderen hilfsbereiten Geistern. DANKE !!

Nein, eher ändere ich sie alle paar Tage, egal ob kompliziert oder nicht, nützt das alles nichts, ich glaube, daß direkt auf dem PC die Daten abgefangen werden, sobald ich ein neues password eingebe.

(das war die Antwort für Cosinus)

Hallo, alle + Cosinus und MightyMarc , ihr seid ja noch lange wach, wie gesagt hat die Untersuchung mit F-Secure nichts "offiziell" Verdächtiges gemeldet, aber hier ist die Liste, die ich erhielt - hoffe, Euch kann das trotzdem was sagen - :

1. system idle process
2. system
3. smss.exe
4. winlogon.exe
5. csrss.exe
6. services.exe
7. lsass.exe
8. svchost.exe
9. spoolsv.exe
10. avp.exe
11. cisvc.exe
12. svchost.exe (hier zum 2. mal)
13. regsvc.exe
14. MSTask.exe
15. slserv.exe
16. WinMgmt.exe
17. svchost.exe (hier zum 3. mal)
18. swdoctor.exe
19. Explorer.EXE (genau so geschrieben, ist das o.k. so?)
20. sistray.EXE (ebenfalls so geschrieben)
21. khooker.exe
14. avp.exe
23. sdhelp.exe
24. internat.exe (kann ich die löschen - brauche ich die unbedingt ?)
25. HijackThis.exe (habe eben HijackThis aufgespielt und benutzt)
26. cidaemon.exe
27. wuauclt.exe
28. sistray.exe (siehe oben unter 20., wo ".exe" noch in Großbuchstaben war, was bedeutet das ?)
29. NOTEPAD.EXE (was ist das ?? kann ich das vielleicht löschen ?)
30. iexplore.exe (siehe auch 19.=?)
31. WinRAR.exe (nehme an, daß ich dies eben aufgespielt habe für F-Secure)
32. F-Secure Blacklight.exe (glaube, eben aufgespielt, habe F-Secure laufen lassen)

Soll ich was davon löschen ? DANKE !