Hallo zusammen,

da dies mein erster Beitrag ist (dem hoffentlich nicht allzu oft neue folgen werden ;-)), eine kurze Vorstellung: Ich gehöre zu diesen seltsamen Leuten, die sich mit technischen Problemen (sehr selten) an Foren oder Boards wenden, selbst aber nur Beiträge zu Themen schreiben, von denen sie halbwegs etwas verstehen -- viel werdet ihr im Trojaner-Board also nicht von mir lesen...

Zu meinem Problem:

Letzte Woche haben meine Eltern auf ihrem Internetrechner versehentlich den IE anstelle des MF genutzt und sich vermutlich dabei etwas gefangen: AVG Free und avast! Free haben jeweils einen JS-Trojaner gefunden, die ich bei meinem Besuch heute manuell (AVG) bzw. durch avast! gelöscht habe (beide in den IE-Temp-Files, beide Tools können auch nach einem Reboot nichts mehr finden). Im Anschluß konnte AVG Anti-Rootkit keine Bedrohung finden (mit Standerd- und InDepth-Suche), Spybot Search&Destroy hat eine Adware und einen Keylogger gefunden und erfolgreich entfernt. Der Rechner verhält sich völlig normal. Ein paar aktive Dateien habe ich auch erfolglos durch VirusTotal gejagt.

In diesem Forum habe ich gelesen, dass die einfaches löschen oder "heilen" der Schadprogramme nicht unbedingt ausreichen muss, und mich schlau gemacht, was unter "kompromittiert" zu verstehen ist. avast! scheint leider keine Logdatei erzeugt zu haben, die Datei wurde beim Bootscan gefunden und auf meine Anweisung hin gleich gelöscht. Ich weiß daher nicht mehr, um welchen Trojaner es es sich gehandelt hat, es war eine "js/weißdennamennichtmehr" family. Der von AVG erkannte Schädling wurde als js/psyme erkannt. AVG meldet auch, dass kernel32.dll, user32.dll, shell32.dll und ntoskrnl.dll geändert wurden.

Heute habe ich von den Benutzerkonten gleich die Adminrechte entfernt (etwas spät, ich weiß...), dem IE sämtliche ActiveX-Rechte deaktiviert und ihn gut versteckt, morgen werden alle Passwörter geändert (da gibt es eigentlich nichts sicherheitskritisches...). Gibt es noch etwas, was ich unbedingt tun sollte?

Über konstruktive Hinweise würde ich mich sehr freuen. Ist unter den gegebenen Bedingungen ein Neuaufsetzen wirklich notwendig, oder reicht eine bescheidenere Lösung?

Logfile of HijackThis v1.99.1
Scan saved at 22:25:26, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\1175975069\ee\aolsoftware.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\*NAME*\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe"

-Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1175975069\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

c:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file

missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file

missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project -

C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google

Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

Hallo Pooka

>>“In diesem Forum habe ich gelesen, dass die einfaches löschen oder "heilen" der Schadprogramme nicht unbedingt ausreichen muss, und mich schlau gemacht, was unter "kompromittiert" zu verstehen ist.“<<<<

>>“Der von AVG erkannte Schädling wurde als js/psyme erkannt. AVG meldet auch, dass kernel32.dll, user32.dll, shell32.dll und ntoskrnl.dll geändert wurden.“<<<<:aplaus:


Wenn Du dich „schlau“ gemacht hast , solltest Du wissen was das für dein System bedeutet


>>>“Heute habe ich von den Benutzerkonten gleich die Adminrechte entfernt (etwas spät, ich weiß...)“<<<<<<


Aha, alle Benutzerkonten hatten also Adminrechte ...nach der Verseuchung hast Du dann die Rechte geändert !?


>>“.....morgen werden alle Passwörter geändert (da gibt es eigentlich nichts sicherheitskritisches...)“<<<


Von dem , bzw für das , vermutlich verseuchten System , möchtest Du nun neue Passwörter vergeben ? !!


>>“Gibt es noch etwas, was ich unbedingt tun sollte? „<<<




JA!! Es gibt noch etwas das Du tun solltest :-)

Das hier mal Lesen

http://www.trojaner-board.de/12154-a...sicherung.html
Gruß Coffee Fan

Hallo CoffeeFan,

vielen Dank für Deine Antwort. Mir ist durchaus bewußt, dass nach einer Infektion mein Rechner kompromittiert und damit grundsätzlich nicht mehr sicher ist. Deinen Zitaten aus meinem Beitrag entnehme ich auch, dass die Wahrscheinlichkeit, einen Backdoortrojaner gefangen zu haben, der immer wieder versuchen wird, Unfug zu treiben, recht groß ist.

Mein Gedanke ist folgender: Ist diese Bedrohung in meinem Fall eine theoretische "Grundsätzlich wäre es denkbar, dass etwas passiert, in der Praxis ist sowas aber noch nicht vorgekommen", oder ist das eine reale Bedrohung? Immerhin habe ich in einem Link auch gelesen, "Ich als erfahrener Admin würde mich unwohl fühlen, auch wenn ein Virenkit den Trojaner "geheilt" hat. Ich bewege mich eher zwischen DAU und Ottonormaluser...

Auf dem Rechner selbst sind keine geheimen oder privaten Daten (außer ein paar harmlosen Urlaubsschnappschüssen meiner Eltern), die einzigen Passwörter, die ich ändern würde, wären die der GMX-Accounts meiner Eltern (Outlook o. ä. nutzen sie nicht). Auf dem Rechner selbst gibt es keine Passwörter, und andere Internetaccounts nutzen meine Eltern nicht.

Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen. Falls nicht, würde ich nur die Sicherheitseinstellungen hochschrauben und das System als geheilt betrachten.

Falls ihr als Experten mir von diesem Vorgehen abratet, setze ich den Rechner neu auf, es gibt eine halbwegs aktuelle Sicherung, und der Mensch wird ja bekanntlich aus Schaden klug. Ich will ja nicht, dass der Rechner zum Spamversender wird oder sonstwie bösen Buben von Nutzen sein kann. Ich habe nur die Befürchtung, dass ihr als Sicherheitsexperten die Sicherheitslatte sehr, sehr hoch legt -- daher meine Frage, ob die Bedrohung eher theoretischer oder eher praktischer Natur ist, und ob ein "Beobachten" des Systems sinnvoll ist. Ich würde dann meine Eltern anweisen, alle erkannten Bedrohungen ins Vault zu verschieben, die Meldung zusätzlich auf einem Zwettel zu notieren und meinen nächsten Besuch abzuwarten...

Ich kann meine Klappe einfach nicht halten.

Es geht bei Backdoortrojanern nicht um deine Daten, würde es tatsächlich nur darum gehen, dann wäre die Entscheidung tatsächlich dir überlassen.
Die meisten Backdoorschreiber wollen aber gar nicht an dein Benutzernamen oder dein Passwort (oder zb auch die Keys von deinen Windows/Adobe/etc-Versionen). Die wollen meistens einen Rechner mit dem sie dann die Webauftritte angreifen können oder Spam versenden können. Die wollen Geld machen.
Castlecops bekommt derzeit zb. 1.000.000.000 (sinnlose) Zugriffe pro Sekunde von solchen Rechnerleichen. Das soll dazu führen, dass die Seite für andere Leute nicht mehr erreichbar ist. In diesem Jahr haben schon zahlreichen Webseiten zugemacht, weil sie diesen Angriffen nicht standhalten konnten. Zuletzt FraudWatchers.org.

Mit einem infizierten Rechner schadest du also nicht nur dir selbst sondern eigentlich allen. Den Entwicklern von Sicherheitssoftware, die sie nicht vertreiben können, den Helfern, die die Software nutzen wollen aber nicht können und den Befallenen, denen nicht mehr geholfen werden kann, weil die Programme nicht erreichbar sind.
Das Problem ist viel größer, als es auf den ersten Augenblick scheint.

Allerdings sehe ich derzeit keinen direkten Anhalt für Backdoortrojaner auf deinem Rechner. Reiche bitte alle gefunden Trojaner nach, insbesondere die befallenen Dateien für Keylogger von Spybot.
Dann bräuchte ich noch die genaue Meldung von AVG für die 3 veränderten Dateien, sowie die Auswertung der 3 Dateien bei Virustotal (das gesamte Ergebnis mit MD5 und SHA).
Außerdem bitte noch Logfiles der folgenden Tools:

- eScan
- Blacklight
- Silentrunners

Die Meldungen von AVG sind nicht besonders gefählrich:
Es handelt sich um klick. Solange der dazugehörigeTrojaner nicht runtergeladen und ausgeführt wurde, sind die Meldungen ungefährlich. Dafür wäre es allerdings wichtig, dass das System uptodate war und alle Sicherheitspatches zu dem Zeitpunkt eingespielt waren, da die Installationsroutine von Psyme Schwachstellen im IE (von 2004) ausnutzt.

Unabhängig von der Bereinigung/Neuinstallation solltest du eines der Antivirenprogramme von Bord schmeißen. Die Programme behindern sich gegenseitig und können, wenn sie sich in die Haare kriegen, Windows komplett zerstören. Der Hintergrundwächter von Spybot kann auch deaktiviert werden (sowie einige weitere Programme falls das erwünscht ist)

lg myrtille

Hallo myrtille,

vielen Dank für Deine Antwort. Natürlich will ich nicht nur Schaden vom Rechner meiner Eltern abwenden, sondern auch bösen Buben keine Werkzeuge in die Hand geben. Bei DDOS-Attacken geht es ja afaik zum Teil auch um Erpressung, Plattmachen unerwünschter Konkurrenz oder die Unterdrückung von Opposition, und da möchte ich mich nicht zum Komplizen machen, auch nicht aus Nachlässigkeit. Sollte sich also zeigen, dass der Rechner noch befallen und eine "kleine" Lösung nicht zielführend ist, würde ich ein Neuaufsetzen durchführen.

Daher suche ich nach einer Möglichkeit, mit hoher, wenn auch nicht absoluter Sicherheit festzustellen, ob der Rechner derzeit eine Hintertür für böse Jungs offen hat. Falls sie diese nutzen sollten, etwas zum SPAM-Versand oder für DDOS-Attacken, gibt es ja sicherlich halbwegs zuverlässige Methoden, das festzustellen (Ich vermute, zumindest Spybot wird sich da melden)? Für Input dazu wäre ich dankbar.

Zu Deinen Fragen:
Windows XP war jederzeit aktuell, ich hatte "automatische Updates" eingestellt. Der IE war 6.0, da er auf meine Bitte hin _eigentlich_ nie genutzt wurde. Wieder etwas gelernt: Den hätte ich natürlich auch aktualisieren sollen...

Von AVG habe ich folgende Infos aus dem Logfile:
<rec time="2007/09/29 17:07:24" user="*Name*" source="Virus">
<value>@HL_ActionTakenFailed</value>
<attr name="filename">C:\Dokumente und Einstellungen\*Name*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXMZGTAV\index[8].htm</attr>
<attr name="type">@EID_Fi_vir</attr>
<attr name="what">JS/Psyme</attr>
</rec>
<rec time="2007/09/29 20:08:43" user="*Name*" source="General">
<value>@HL_TestEnded</value>
<attr name="testname">@TestName_02</attr>
<attr name="infectedfiles">1</attr>
</rec>

Die Datei habe ich im Anschluß manuell gelöscht. Von avast! existiert leider kein Logfile.

Spybot vermeldet:
Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe
Sowie
Zlob.VideoActiveXAccess
Programm-Verzeichnis
C:\Programme\VideoActiveX Access
Und hat beide Programme erfolgreich gelöscht.

Die Ergebnisse von Virustotal:
kernel32.dll: 0/32 (0%)
File size: 1058304 bytes
MD5: 8eea8280a1e0e794edfccad3721c7cab
SHA1: fc0460baa69f17dabc752ef5995c98866062cfc2

user32.dll: 0/32 (0%)
File size: 579072 bytes
MD5: 492e166cfd26a50fb9160db536ff7d2b
SHA1: 8f63f79cf097750fdca0caa2f816d6b7587167c1

shell32.dll: 0/32 (0%)
File size: 8494592 bytes
MD5: bee716a2d0068a38c0de9b82113161f9
SHA1: e5f0e2663ea5a992910f3c475660e65a6aef5707

ntoskrnl.dll: 0/32 (0%)
File size: 2140160 bytes
MD5: fd51b755255e963b1e78b010b575fa7c
SHA1: 9248f50d0e2148f8353d93ff6887d42c540dbf18

Mit Logfiles meinst Du höchstwahrscheinlich die Auswertungen kompletter Systemchecks mit diesen Tools, nicht nur Checks für diese Dateien? Ich reiche die Logfiles noch nach.

Hallo Coffee Fan,

>> Was ist mit den Zugangs Daten z.B. deines Providers ? Wenn in diesem Augenblick jemand dein Postfach dazu benutzen würde , um andere zu zu Spammen , währe das nicht so schlimm ? .

Ein Provider-Postfach hat der Zugang nicht, auch kein Outlook oder ähnliches. Für Email wird ausschließlich das Webinterface von GMX verwendet. Spammen ist von diesem Rechner aus sicherlich nicht unmöglich, aber vermutlich eher unwahrscheinlich.

>>>>“Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen.“<<


>>Wie ?? würdest Du das denn bemerken ?

Ich vermute, wenn es sich um automatisierte Routinen handelt, ist die Wahrscheinlichkeit hoch, dass virenscanner, Rootkit und Spybot gute Chancen haben. die Eindringlinge zu bemerken. Aber natürlich weiß ich das nicht, ich bin nunmal auch eher ein Gelegenheitscomputernutzer. Deshalb frage ich ja hier nach, ob das ein zielführendes Vorgehen ist oder nicht.

>>Wenn Du dir unsicher bist , kannst Du einfach noch ein wenig warten , es wird sich bestimmt noch ein wirklicher Experte zu Wort melden . Der kann Dir evt . bei der Rettung deines Systems helfen ( Kompetenzteam ) Ich persönlich würde sagen , deine Eltern währen sicher besser beraten, wenn DU das System einmal nach der Anleitung ( Link ) ordentlich einrichten würdest. Welche bessere Gelegenheit könnte es dafür geben als Deine jetzige :-) .

Ja, ich tendiere momentan tatsächlich zu dieser Lösung. Allerdings werde ich das heute ohnehn nicht mehr schaffen, von daher bietet sich das Abwarten zumindest als Zwischenlösung an ;-)

Hi,

Zitat:

Die Ergebnisse von Virustotal

die Prüfsummen der Dateien sind unbekannt, das ist im Endeffekt, dass was AVG auch schon gesagt hat. Allerdings ist es zumindest bei einer Datei ein Fehlalarm und bei 2 weiteren Dateien habe ich dieselben Prüfsummen auch schon gesehen, ohne dabei auf einen Befall zu schließen. Nur der ntoskrnl scheint in der Form komplett unbekannt zu sein.
Wer diese Dateien wieso wann (hast du das Datum zu dem die Meldungen das erste Mal auftraten?) verändert hat, kann ich allerdings nicht sagen, es könnte tatsächlich bösartiger Code eingeschleust worden sein. Sollte es jedoch keine weiteren Anzeichen auf Befall geben, halte ich das für wenig wahrscheinlich.

Zitat:

Mit Logfiles meinst Du höchstwahrscheinlich die Auswertungen kompletter Systemchecks mit diesen Tools, nicht nur Checks für diese Dateien? Ich reiche die Logfiles noch nach.

Ja, ich hätte gern die kompletten Logs. Mal abgesehen von eScan sind es eh keine Virenscanner und würden daher auch keine Dateien einzeln prüfen.

Was das finden von Backdoors angeht, da gibt es natürlich Methoden:
Die meisten erkennt man schon im Hijackthislog, viele werden auch von Antivirenprogrammen gefunden. Diejenigen, die sich per Rootkit verstecken enttarnt man dann mit Rootkitscannern. Gelegentlich reicht es auch einfach nach bestimmten Dateien und Ordnern zu suchen.
Eine weitere Methode ist zu überprüfen welche Programme auf welchen Ports sich wohin ins Internet verbinden. Treten keine unbekannten Prozesse, seltenen Ports oder unseriöse Kontakte auf ist es wieder wahrscheinlicher, dass man nicht befallen ist.

All diese Methoden können aber ausgehebelt werden, weswegen wir nie 100%ige Garantie geben können, das ein Rechner wirklich sauber ist. Garantien vergeben wir eh nicht. Wir tun was wir können, nicht mehr, nicht weniger.

Reiche bitte auch noch folgendes Log nach:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zitat:

Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe
Sowie
Zlob.VideoActiveXAccess
Programm-Verzeichnis
C:\Programme\VideoActiveX Access

Zitat:

Spybot Search&Destroy hat eine Adware und einen Keylogger gefunden und erfolgreich entfernt

Was wurde denn als Keylogger bezeichnet? zlob?
Kannst du bitte bei folgender Meldung nochmal genauer nachschauen:

Zitat:

Microsoft.Windows.Security.InternetExplorer
Einstellungen
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_ LOCKDOWN\iexplore.exe

ist das wirklich alles was da steht?
Es ist auf jedenfall eine unbedenkliche Meldung, Spybot ist mit den Sicherheitseinstellungen des IEs nicht glücklich -> Es kann gut sein, dass Zlob da am Werk war.

Mehr wenn die andern Logs da sind.

lg myrtille

Hallo myrtille,

anscheinend hat die Geschichte auch ein Happy End. Dann kannst Du mit den Filmrechten reich werden, es sei denn, das Filmstudio haut Dich übers Ohr

F-Secure erstellt das Protokoll automatisch, damit habe ich nicht gerechnet. Jetzt habe ich gleich zwei davon. Sobald ich mich für eines davon entscheiden kann, reiche ich es nach.

Hier der Rest vom SilentRunner-Log:

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "@c:\Programme\Messenger\Msgslang.dll,-61144"
"MenuText" = "@c:\Programme\Messenger\Msgslang.dll,-61144"
"Exec" = "c:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["AOL LLC"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
GMX Firefox Update, AdminSVCff, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe" ["hablamax"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
O2Micro Flash Memory, O2Flash, "C:\WINDOWS\system32\o2flash.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2007-09-30 21:07:13)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 38 seconds, including 5 seconds for message boxes)

Hallo Pooka

>>“Auf dem Rechner selbst sind keine geheimen oder privaten Daten (außer ein paar harmlosen Urlaubsschnappschüssen meiner Eltern), die einzigen Passwörter, die ich ändern würde, wären die der GMX-Accounts meiner Eltern (Outlook o. ä. nutzen sie nicht). Auf dem Rechner selbst gibt es keine Passwörter, und andere Internetaccounts nutzen meine Eltern nicht.“<<<<

Was ist mit den Zugangs Daten z.B. deines Providers ? Wenn in diesem Augenblick jemand dein Postfach dazu benutzen würde , um andere zu zu Spammen , währe das nicht so schlimm ? .


>>“Ich würde gerne das System noch ein, zwei Wochen beobachten. Falls es sich dann herausstellt, dass der Rechner versucht, irgendwelche Trojaner nachzuladen, würde ich das System neu aufsetzen.“<<


Wie ?? würdest Du das denn bemerken ?


>>“Falls ihr als Experten „<<<

Ich bin KEIN Experte :-) ... ist nur ein Rat ...

Wenn Du dir unsicher bist , kannst Du einfach noch ein wenig warten , es wird sich bestimmt noch ein wirklicher Experte zu Wort melden . Der kann Dir evt . bei der Rettung deines Systems helfen ( Kompetenzteam ) Ich persönlich würde sagen , deine Eltern währen sicher besser beraten, wenn DU das System einmal nach der Anleitung ( Link ) ordentlich einrichten würdest. Welche bessere Gelegenheit könnte es dafür geben als Deine jetzige :-) .

http://www.trojaner-board.de/12154-a...sicherung.html

Gruß Coffee Fan