jemand ändert meine passwörter

anonim · 07.02.2008, 12:51

jemand ändert meine passwörter

--------------------------------------------------------------------------------

hello
irgendjemand ändert meine passwörter.
vor ein paar tagen, bekam ich eine mail von ebay, dass mein pw geändert wurde.
eine minute darauf, dass ich meinen benutzername geändert haben.
und gestern wurde das pw von meiner email addresse gmx geändert.

jetzt hab ich angst, dass vielleicht noch jemand bei meiner electronic bank einbricht.

hat jemand tipps was das sein könnte?

bei ebay wurde das mitgeschickt:

Dieser Antrag auf Änderung des Passworts erreichte uns von:
IP-Adresse: 84.180.251.200
Internet-Dienstanbieter: 10.11.64.253

--------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:56:31, on 06.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\DU Meter\DUMeterSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Eckl\LOKALE~1\Temp\Rar$EX00.412\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {4FFADED8-CE19-4FC5-9547-7881FDB5D120} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30174983-471C-4551-9DF9-7BEE223F6A33}: NameServer = 195.202.128.2,195.202.128.3
O20 - Winlogon Notify: khfeccc - khfeccc.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Programme\DU Meter\DUMeterSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Chris4You · 07.02.2008, 14:01

Hi,

sperre sofort Deinen Bankaccount, ändere von einem sauberen Rechner aus die restlichen Passwörter!

Das hier war/ist wohl (mit)schuld...
khfeccc.dll

combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

anonim · 07.02.2008, 18:22

ComboFix 08-02.05.3 - Eckl 2008-02-07 18:10:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.304 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eckl\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Eckl\Anwendungsdaten\addon.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\server.exe
C:\WINDOWS\system32\3.exe
C:\WINDOWS\system32\3.txt
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\youtubex.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-07 bis 2008-02-07 ))))))))))))))))))))))))))))))
.

2008-02-07 14:41 . 2008-02-07 14:41 0 --a------ C:\23990098.$$$
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-07 13:18 . 2008-02-07 13:18 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-07 13:00 . 2008-02-07 13:09 50 --a------ C:\WINDOWS\Lic.xxx
2008-02-07 12:59 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-02-07 12:59 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-02-04 21:12 . 2008-01-03 04:41 20,104,055 --a------ C:\WINDOWS\Videoanleitung_für_Megaorgasmus.wmv
2008-02-04 20:18 . 2008-01-11 00:14 3,993,150 --a------ C:\WINDOWS\Free Porn Movies Videos Clips Sweet Svetlana.flv
2008-02-04 20:18 . 2008-01-11 19:17 1,059,846 --a------ C:\WINDOWS\server_ud.exe
2008-02-04 20:14 . 2007-12-30 20:52 14,303 --a------ C:\WINDOWS\ichxD.jpg
2008-01-25 09:23 . 2008-01-25 09:37 <DIR> d-------- C:\Programme\Dr.Hardware 2007 english
2008-01-23 21:32 . 2008-01-23 21:32 <DIR> d-------- C:\Programme\DU Meter
2008-01-23 21:32 . 2008-01-23 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies
2008-01-23 20:51 . 2001-07-28 15:07 43,802 --a------ C:\WINDOWS\system32\CNBJHLP.HLP
2008-01-23 20:51 . 2001-07-28 15:07 964 --a------ C:\WINDOWS\system32\CNBJHLP.CNT
2008-01-23 12:54 . 2008-01-24 17:54 <DIR> d-------- C:\Programme\TrafficMonitor
2008-01-23 12:54 . 2008-01-23 12:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2008-01-18 11:49 . 2008-01-18 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\Eckl\Anwendungsdaten\vlc
2008-01-18 11:45 . 2008-01-18 11:45 <DIR> d-------- C:\Programme\VideoLAN
2008-01-11 12:51 . 2008-01-11 13:03 <DIR> d-------- C:\Programme\LEGO Company
2008-01-11 12:51 . 2008-01-11 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Eckl\Anwendungsdaten\LEGO Company
2008-01-09 19:20 . 2008-01-09 19:28 <DIR> d-------- C:\New Folder
2008-01-09 18:48 . 2008-01-09 18:48 <DIR> d-------- C:\tmp
2008-01-09 18:43 . 2008-01-09 18:59 <DIR> d-------- C:\tmpDownload
2008-01-09 18:31 . 2008-01-09 18:58 <DIR> d-------- C:\YouTubeVideos

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 19:07 2,371,684 ----a-w C:\WINDOWS\Help\SERVER.EXE
2008-02-04 19:07 2,371,684 ----a-w C:\WINDOWS\Help\DEINSERVER.EXE
2008-02-02 09:20 --------- d-----w C:\Programme\No23 Recorder
2008-01-03 19:51 --------- d-----w C:\Programme\SFT Loader
2007-12-27 09:56 --------- d-----w C:\Programme\Ashampoo
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2007-10-15 15:19 2582288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]
"NvCplDaemon"="NvQTwk" []
"HD Tune"="C:\PROGRA~1\HDTUNE~1\HDTune.exe" [2007-01-22 01:01 401408]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-14 21:57 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-14 21:57 282624 C:\Programme\QuickTime\qttask.exe

R2 DUMeterSvc;DU Meter Service;C:\Programme\DU Meter\DUMeterSvc.exe [2007-10-15 15:19]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{46CBB881-313C-3FF6-56B1-DC013C57B32E}]
C:\Programme\win32Gl\svchost.exe s
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-07 18:12:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DUMeterSvc]
"ImagePath"="C:\Programme\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService"
.
Zeit der Fertigstellung: 2008-02-07 18:12:58
ComboFix-quarantined-files.txt 2008-02-07 17:12:49
.
2008-02-05 16:34:16 --- E O F ---

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DU Meter" = "C:\Programme\DU Meter\DUMeter.exe" ["Hagel Technologies Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"NeroCheck" = "C:\WINDOWS\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"HD Tune" = "C:\PROGRA~1\HDTUNE~1\HDTune.exe" ["EFD Software"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

anonim · 07.02.2008, 20:32

so ich hab jetzt alles sperren lassen.
ich sollte jetzt die festplatte formatieren, oder?
frage: wenn ich jetzt die platte formatiere und xp wieder drauf gebe, kann der virus wieder kommen, da er meine ip adresse hat?

danke für eure hilfe

KarlKarl · 07.02.2008, 20:39

Hi,

ja, formatieren und neu installieren, da ist/war ein Backdoorserver drauf, vielleicht sogar mehrere.

http://www.trojaner-board.de/12154-a...sicherung.html

Wenn Du dein System sicher einrichtest und konfigurierst, wird er nicht zurückkommen können. Diese/n Server hast Du dir mit an Sicherheit grenzender Wahrscheinlichkeit selber installiert. Irgendein Download, eine Datei aus einem Messenger, usw., die Möglichkeiten sind viele.

Gruß, Karl

mmk · 07.02.2008, 20:48

Es war in diesem Fall völlig fehlindiziert, ComboFix laufen zu lassen. Es hätte hier zunächst aus Beweissicherungsgründen ein Image der Systempartition erstellt werden müssen.

anonim · 07.02.2008, 21:50

hello
eine frage noch

wenn ich mich bei win xp immer angemeldet habe als admin wurde der desktop ziemlich schnell angezeigt.
aber seit ein paar tagen, also seit dem trojaner denk ich,
kam nach dem anmelden links oben ein fenster mit
persönliche einstellungen laden.
und eine datei wurde angezeig C:/programme/win32/svchost.exe
und in c:/windows war eine datei mit server.exe

c:/windows/twunk_16.exe
c:/windows/twunk_32.exe
c:/windows/taskman.exe

im taskmgr ist auch
wuauclt.exe
winlogon.exe
einige svchost.exe
spoolsv.exe
smss.exe
qttask.exe
nvsvc32.exe
jusched.exe
devldr.exe
ctfmon.exe
csrss.exe
alg.exe

die sehen mich auch verdächtig an, aber die kommen immer wieder

kann es an der gelegen haben.
denn jetzt ist es nicht mehr gekommen.

KarlKarl · 07.02.2008, 21:59

Das sind Folgen der Infektionen, die werden alle verschwunden sein, nachdem Du dein System neu installiert hast.

c:/windows/twunk_16.exe
c:/windows/twunk_32.exe
c:/windows/taskman.exe

Die lass mal in Ruhe, sind in Ordnung, gehören dazu.

07.02.2008, 21:59	#8
KarlKarl /// Helfer-Team	jemand ändert meine passwörter Das sind Folgen der Infektionen, die werden alle verschwunden sein, nachdem Du dein System neu installiert hast. c:/windows/twunk_16.exe c:/windows/twunk_32.exe c:/windows/taskman.exe Die lass mal in Ruhe, sind in Ordnung, gehören dazu.

jemand ändert meine passwörter

Plagegeister aller Art und deren Bekämpfung: jemand ändert meine passwörter