Hallo zusammen,

seit einiger Zeit leide ich endweder an schitzophrenie oder jemand hat es auf mich abgesehen.
ich gehe mal davon aus, das sich jemand in mein (anfangs dummer weise ungeschütztes) WLAN eingeklinkt hat und später sogar die WEP verschlüsselung knackte und in meinem Netzwerk Unfug trieb.

Da ich auf WLAN verzichen kann, wurde das vor geraumer Zeit augeschlatet (Anzeige etc.. ohne Erfolg)

Derjenige Telefonierte munter über meine VoIP Leitung und verzockte 70 € bei gameduell.de.

Ok... nachdem das Ende letzten Jahre ausgestanden war (Die glauben mir leider immer noch nicht) hatte ich eine Weile ruhe.

Bis zur Abbuchung von eBay neulich.

Es stellte sich heraus, dass jemand meinen eBay PW herausgefunden hat und mehrere Autionen eingestellt hatte. Naja... ob eBay die über 260 € Gebühren jemand von mir fordern wird ist unklar.

ich hoffe eigentlich das ich hinter meinem T-COm Router (soll ne Fritzbox drin stecken) schon gut geschützt bin, aber trotzdem meldete mit Norton mal den Trojaner trojan.peacomm und dass ich gechützt sei (auf dem laptop - nicht auf dem Hauptrechner - da war ich wohl ungrschützt).

Hauptrechner ist mittlerweile neu aufgesetzt (vista :-(( ) aber der Laptop könnte noch spuren enthalten.
Daher mal die Frage an Euch als know How Träger:

Bitte checkt mir mir mal mein System. Denn alle Änderungen die im Internet beslang gemacht wurden, tragen meine IP Adresse *grummel*

Vielleicht findet ihr ja mal was, mit dem ich andere überzeugen kann, dass ich nicht Schuld bin ^^

ok hier mein Log:


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

hallo silverforce,

sorry ich hab mir dein log nicht angeschaut.

Da reicht mir schon die Einleitung.

1.) Router mit WLAN richtig einrichten und verschlüsseln (min. WEP)
2.) PC neu aufsetzen und neue passwörter wählen siehe signaturen von denen mit den vielen Sternen.

Grüße

Hallo!

1) WLAN ist AUS.
Und das wird es auch bleiben.

Allerdings war er nochmal in meinem Netztwerk nachdem ich WEP verschlüsselt hatte.
Berichten im Innternet zufolge (nachher ist man immer schlauer) braucht man für eine WEP Verschlüsselung nicht mehr als 30 Minuten (wurde auf der CEBIT letztes Jahr demonstriert).

2) Rechner neu aufsetzen.
Ja, mit meinem großen Rechner habe ich das auch gemacht und habe jetzt Vista.
Meinen Laptop habe ich bewusst nich neu aufgesetzt, da es ein legales system ist und viele viele verschiedene Virenprogs etc... nichts finden konnten.

Ich möchte auch nicht einfach nur mein System neu aufsetzen, sonden mit Eurer Hilfe mal mein System checken um zu sehen was los ist und was noch da ist, aber nicht gefunden wird.

Danach wird neu aufgesetzt.

Ach ja... meine PW habe ich alle mittlerweile 3 mal geändert. ich wähle eine Kombi aus Zahlen und Buchstaben - 9 Zeichen lang.
Geändert wird in regelmäßigen Abständen.

Wie gesagt, mein Ziel ist nicht neu aufzusetzen, sondern erstmal festzustellen was los ist.

Gruß

Silver

Hier der bearbeitete LOG:
Logfile of HijackThis v1.99.1
Scan saved at 00:23:40, on 24.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\TELES\ISDN Tools\tisdnmon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ADS Tech\MediaTV\MediaTVMonitor.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Messenger\msmsgs.exe
D:\highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.co.jp/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.co.jp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.co.jp/ie
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TISDNMonitor] C:\Programme\TELES\ISDN Tools\tisdnmon.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE UG-CMS7/UG-CMS8
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: MediaTV Monitor.lnk = C:\Programme\ADS Tech\MediaTV\MediaTVMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/07dde3fb42336516ac01/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099340749140
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

sorry meinte auch nicht (min. WEP) sondern (min WPA)

ansonsten ändert sich meine Meinung nicht.

Wenn der Typ halbwegs Grips und kriminelle Energie hatte, hat er Dir sicherheitshalber, bevor er nicht mehr auf Dein System konnte, entsprechende "Tools" installiert, damit er Deine Infos noch mitbekommt.

Daher eben die Empfehlung zum Neuausetzen. Ob das WLan jetzt aus ist oder nicht ist da ziemlich egal. Wenn jemand 'n Nachschlüssel zu Deiner Tür hat kannst zusperren wie'st willst, er kommt rein bis Du das Schloß tauscht.

Hmmm......

Gebt mir doch bitte mal n TIP.

Wie ist es möglich über meine IP Adresse zu surven?
Einige der Dinge die da geschehen sind, sind von meiner IP Adresse aus geschehen.

ich habe überigens als Router den Speedport W 501 V von der T-COM. Ich habemir sagen lassen, es gibt evtl. die Möglichkeit diesen aus dem Netzt heraus fremdzusteuern und als Proxy (oder sowas) zu benutzen?

Gruß

Silver

Ach ja.... was sagt Euch der Name: Trojan.Peacomm ?

Hallo Silver*

Es ist wohl sinnvoll, nicht gleich das Notebook zu formatieren - richtig!

Ich habe vor kurzem hier on Board etwas ähnliches gelesen ...

Mache ein Backup des Kopletten Systems des "Beweis"-Gerätes.
...dann kannst Du formatieren und hast evetl. Beweise "im" Backup.

Einfacher: wenn Du das Gerät zZ nicht benötigst, lass es so "stehen", nur eben nicht nutzen.

PS: WLAN ist sicher! Wenn .... und da gilt es sich zu informieren.
Das selbe gilt für ein Betriebssystem ... und da gilt es sich zu informieren.

Zitat:

Wie ist es möglich über meine IP Adresse zu surven? ......

Wenn Dein Computer ferngesteuert wird ...