Also ich und mein Kumpel bekamen durch ein Online Game mit dass wir wahrscheinlich nen Trojaner aufem Pc haben ich bemerte das als
ich spielte und auf einmal erschien im Spiel: Jemand anderst hat sich mit deinem Konto auf einem anderen Pc eingeloggt. Ich hab sofort reagiert und hab das Pw geändert doch 10 min später passierte das gleiche nochmal und danach noch einmal dann hörte das nach einer Zeit auf und ich sperrte den Account ( man kann ihn reaktivieren über die e - mail ). Danach hab ich mir spyware heruntergeladen und hab alle verdächtigen dateinen gelöscht als ich doch heute also 12 stunden später etwa bei ausfüheren ---> cmd ----> netstat -a eingab und dort eine föllig Fremde ip auftauchte wurde ich stutzig und lud HiJack herunter hier die Logfile



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:21, on 14.05.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\system32\conime.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Windows\system32\cmd.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Jonas\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 8461 bytes

Hallo Biermann.

Das hört sich nach einer massiven Kompromitierung an.

Da in einem solchen Fall unklar ist was der Angreifer alles am System verändert hat sind diese Hintertüren nicht wieder zu bereinigen und der PC muss neuaufgesetzt werden um eine vertrauenswürdige Maschine wiederherzustellen.

Neuaufsetzten

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch.

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateieendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

DANKE für die Antwort,

aber

mmh also mein Kumpel hatte das gleiche problem nun haben wir bei cmd ---> netstat -a nun hat er nach dem festplatte formatieren und der Neuinstallation dort bei den Remoteadressen immer noch eine der komischen stehen also ich schreib die hier mal das is 64.12.28.158:5190 was nun können wir den typ ausfindig machen oder irgendetwas machen damit diese adresse verschwindet

und wenn die da schon wieder auftaucht lohnt sich das Neuaufsetzen überhaupt ?

Hi,

Zitat:

Danach hab ich mir spyware heruntergeladen

macht man nicht.

Die Adresse alleine sagt nicht viel, irgendeine AOL-Adresse in den USA, da würde man sowieso nichts bewirken. Erstmal nachsehen, wer sie auf dem Rechner deines Kumpels nutzt, kann ja auch was harmloses sein. Dazu sag deinem Kumpel, dass er hier ebenfalls einen Thread für seinen Rechner aufmacht und ein HijackThis Log postet. Zwei Rechner in ienem Thread gibt leicht Chaos.

Außerdem könnt ihr euch mal TcpView laden. sozusagen die drastisch verbesserte Version von netstat. Das gibt auch an, welcher Prozess jeweils die Verbindung hat. Mit File -> Save abspeichern und dann auch posten.

Wie sieht es auf deinem Rechner aus?

Gruß, Karl

wininit.exe:564 TCP Jonas-PC:49152 Jonas-PC:0 LISTENING
System:4 TCP jonas-pc:netbios-ssn Jonas-PC:0 LISTENING
System:4 TCP jonas-pc:netbios-ssn Jonas-PC:0 LISTENING
System:4 UDP jonas-pc:netbios-ns *:*
System:4 UDP jonas-pc:netbios-ns *:*
System:4 UDP jonas-pc:netbios-dgm *:*
System:4 UDP jonas-pc:netbios-dgm *:*
svchost.exe:880 TCP Jonas-PC:epmap Jonas-PC:0 LISTENING
svchost.exe:1428 UDP Jonas-PC:llmnr *:*
svchost.exe:1428 UDPV6 jonas-pc:5355 *:*
svchost.exe:1288 TCP Jonas-PC:49154 Jonas-PC:0 LISTENING
svchost.exe:1288 UDP Jonas-PC:ntp *:*
svchost.exe:1288 UDP jonas-pc:ssdp *:*
svchost.exe:1288 UDP Jonas-PC:ssdp *:*
svchost.exe:1288 UDP jonas-pc:ssdp *:*
svchost.exe:1288 UDP Jonas-PC:3702 *:*
svchost.exe:1288 UDP Jonas-PC:3702 *:*
svchost.exe:1288 UDP Jonas-PC:51052 *:*
svchost.exe:1288 UDP jonas-pc:59803 *:*
svchost.exe:1288 UDP jonas-pc:59804 *:*
svchost.exe:1288 UDP Jonas-PC:59805 *:*
svchost.exe:1288 UDPV6 jonas-pc:123 *:*
svchost.exe:1288 UDPV6 [0:0:0:0:0:0:0:1]:1900 *:*
svchost.exe:1288 UDPV6 [fe80:0:0:0:1869:2308:3f57:4deb]:1900 *:*
svchost.exe:1288 UDPV6 [fe80:0:0:0:d864:662:5723:c134]:1900 *:*
svchost.exe:1288 UDPV6 jonas-pc:3702 *:*
svchost.exe:1288 UDPV6 jonas-pc:3702 *:*
svchost.exe:1288 UDPV6 jonas-pc:51053 *:*
svchost.exe:1288 UDPV6 [fe80:0:0:0:d864:662:5723:c134]:59800 *:*
svchost.exe:1288 UDPV6 [0:0:0:0:0:0:0:1]:59801 *:*
svchost.exe:1288 UDPV6 [fe80:0:0:0:1869:2308:3f57:4deb]:59802 *:*
svchost.exe:1052 TCP Jonas-PC:49155 Jonas-PC:0 LISTENING
svchost.exe:1052 UDP Jonas-PC:isakmp *:*
svchost.exe:1052 UDP Jonas-PC:ipsec-msft *:*
svchost.exe:1052 UDP Jonas-PC:50849 *:*
svchost.exe:1052 UDPV6 jonas-pc:500 *:*
svchost.exe:1012 TCP Jonas-PC:49153 Jonas-PC:0 LISTENING
sidebar.exe:3756 UDP Jonas-PC:61264 *:*
services.exe:612 TCP Jonas-PC:49157 Jonas-PC:0 LISTENING
PnkBstrA.exe:1436 UDP Jonas-PC:44301 *:*
lsass.exe:624 TCP Jonas-PC:49156 Jonas-PC:0 LISTENING
ICQ.exe:960 TCP jonas-pc:49518 64.12.28.158:5190 ESTABLISHED
ICQ.exe:960 TCP jonas-pc:49532 64.12.30.96:5190 ESTABLISHED
ICQ.exe:960 TCP jonas-pc:49691 ads.web.aol.com:http CLOSE_WAIT
ICQ.exe:960 UDP Jonas-PC:62755 *:*
firefox.exe:3792 TCP Jonas-PC:49418 localhost:49419 ESTABLISHED
firefox.exe:3792 TCP Jonas-PC:49419 localhost:49418 ESTABLISHED
firefox.exe:3792 TCP Jonas-PC:49420 localhost:49421 ESTABLISHED
firefox.exe:3792 TCP Jonas-PC:49421 localhost:49420 ESTABLISHED
firefox.exe:3792 TCP jonas-pc:49425 212.187.169.238:http ESTABLISHED
firefox.exe:3792 TCP jonas-pc:49438 demdvip1.doubleclick.net:http ESTABLISHED
firefox.exe:3792 TCP jonas-pc:49440 demdvip1.doubleclick.net:http ESTABLISHED
firefox.exe:3792 TCP jonas-pc:49714 mk-in-f99.google.com:http ESTABLISHED
firefox.exe:3792 TCP jonas-pc:49715 mk-in-f99.google.com:http ESTABLISHED
[System Process]:0 TCP jonas-pc:49665 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49666 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49667 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49668 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49669 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49670 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49672 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49673 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49674 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49675 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49676 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49677 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49679 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49681 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49684 redirect-v02.blue.aol.com:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49694 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49699 board.ogame-cluster.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49700 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49701 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49703 s148.gfsrv.net:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49704 cb-mv01.blue.aol.com:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49706 dd17134.kasserver.com:http TIME_WAIT
[System Process]:0 TCP jonas-pc:49710 dd17134.kasserver.com:http TIME_WAIT