Hallo erst mal.
Bin das erste mal hier, von daher verzeit mir, wenn ich etwas falsch mache.

Jemand hat es geschafft sich in mein E-mailkonto einzuloggen und darüber mir zum Beispiel Guildwars geklaut. (Eigene Dummheit: PW von Beidem das gleiche gewesen)

Da ich diese Daten sonst nirrgendwo genutzt habe, hege ich die Vermutung, dass ich mir einen Trojaner mit Keylogger eingefangen habe.

Am selben Tag lies sich auch mein AVG nicht mehr updaten, der anscheinend ebenfalls verseucht war, den ich daraufhin deinstalliert habe.

Hab mir AntiVir runtergeladen und durchlaufen lassen.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <BOOT>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Programme\Infogrames Interactive\Master of Orion 3\moo3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <BACKUP>
Beginne mit der Suche in 'F:\'
F:\Programme\AdVantage\AdVUninst.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SaveNow.A.454096
[HINWEIS] Die Datei wurde gelöscht.
F:\System Volume Information\_restore{EE0052B4-CF6E-4920-8F71-D7C121AC8303}\RP88\A0032174.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SaveNow.A.454096
[HINWEIS] Die Datei wurde gelöscht.

Nach einem Rechnerneustart und erneutem Durchlauf wurden nur noch die beiden Warnungen aus dem oberen Bereich angegeben.


Nach ein paar Stunden Rechnerlaufzeit kam vom Guard diese Meldung:

"In der Datei 'D:\System Volume Information\_restore{EE0052B4-CF6E-4920-8F71-D7C121AC8303}\RP88\A0032173.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen"

Ich frage mich nun, wenn der Datenklau über einen der aus den Berichten stammenden Trojanern stattgefunden hat, ob ich nun alles los geworden bin.

Habe den "AVG" mittlerweile wieder drauf, sowie Spybot-SearcDestroy.
Sollten sich die Programme gegebenenfalls gegenseitig stören, nebenbei die Frage, welche ich beibehalten sollte, welche ihr mir Empfehlen könnt.

Hier mein hijackthis-Bericht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:12:58, on 18.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
F:\WINDOWS\system32\ctfmon.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\OpenOffice.org 2.3\program\soffice.exe
F:\Programme\OpenOffice.org 2.3\program\soffice.BIN
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
F:\WINDOWS\system32\wscntfy.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - d:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "F:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = F:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://xxx.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212386653091
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - xxxs://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 5554 bytes


Schon mal vielen Dank für eure Hilfe

Xana

Halli hallo Xanaphia und

Bei einer solchen Kompromitierung rate ich dir dringend den Rechner platt zu machen..

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Die Textdatei vom mbr sagt mir, dass anscheinend alles ok wäre.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Und dass mit der Neuinstallation habe ich schon geahnt.
Anscheinend geht da wohl kein weg dran vorbei.

Zitat:

Anscheinend geht da wohl kein weg dran vorbei.

nur einen sehr unsicheren... Das wär's mir nicht wert..

Naja, bin derzeit Dabei meine Examensarbeit zu schreiben, und für meine Examensklausuren zu lernen, wobei ich für beides den Rechner brauche.
Und Zeit für eine Komplettneuinstallation habe ich nicht wirklich.
(Dauert immer so 2-3 Tage)
Naja; Nerven hab ich momentan eh überhaupt nicht mehr...

Gefunden hatte ich ja schon:
TR/Crypt.XPACK.Gen
WORM/SaveNow.A.454096

Frage wäre, was die so machen... Hab nichts hierzu gefunden
Naja und ob ich sie los bin.

Bezüglich TR/Crypt.XPACK.Gen habe ich das gefühl, das er wohl noch da ist, da er ja später von AntiVir in einer sysrestoredatei gefunden wurde.

Wie sehe denn die Unsichere Möglichkeit aus. Denn um eine Neuinstallation könnt ich mich erst einem Monat kümmern.

Gruss Xana

Zitat:

Und Zeit für eine Komplettneuinstallation habe ich nicht wirklich.
(Dauert immer so 2-3 Tage)

Die Bereingung dauert länger und kostet mehr Nerven..

So sähe das dann für's Erste aus:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:

• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

08/18/08 14:45:50 [Info]: BlackLight Engine 1.0.70 initialized
08/18/08 14:45:50 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/18/08 14:45:51 [Note]: 7019 4
08/18/08 14:45:51 [Note]: 7005 0
08/18/08 14:46:00 [Note]: 7006 0
08/18/08 14:46:00 [Note]: 7011 1908
08/18/08 14:46:00 [Note]: 7035 0
08/18/08 14:46:00 [Note]: 7026 0
08/18/08 14:46:00 [Note]: 7026 0
08/18/08 14:46:01 [Note]: FSRAW library version 1.7.1024
08/18/08 14:49:41 [Note]: 7007 0


die Textdatei zu Blacklight

ComboFix 08-08-17.03 - xxx 2008-08-18 14:53:30.1 - NTFSx86
Microsoft Windows XP Home Edition x.x.xxxx.x.xxxx.x.xxxx.xx.xxxx [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Dokumente und Einstellungen\xxx\UserData
F:\Dokumente und Einstellungen\xxx\UserData\index.dat
F:\Dokumente und Einstellungen\xxx\UserData\QVGNZNJ6\oWindowsUpdate[1].xml

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 ))))))))))))))))))))))))))))))
.

2008-08-18 10:26 . 2008-08-18 14:35 <DIR> d-------- F:\Programme\Yahoo!
2008-08-18 10:14 . 2008-08-18 10:14 <DIR> d--h----- F:\$AVG8.VAULT$
2008-08-17 23:33 . 2008-08-18 11:19 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-17 23:20 . 2008-08-17 23:32 <DIR> d-a------ F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-17 13:21 . 2008-08-18 12:00 <DIR> d-------- F:\WINDOWS\system32\drivers\Avg
2008-08-17 13:21 . 2008-08-17 13:21 96,520 --a------ F:\WINDOWS\system32\drivers\avgldx86.sys
2008-08-17 13:21 . 2008-08-17 13:21 10,520 --a------ F:\WINDOWS\system32\avgrsstx.dll
2008-08-17 13:15 . 2008-08-17 13:21 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-08-17 09:40 . 2008-08-17 09:40 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-16 22:30 . 2008-05-01 16:34 331,776 -----c--- F:\WINDOWS\system32\dllcache\msadce.dll
2008-08-16 22:27 . 2008-04-11 21:04 691,712 -----c--- F:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-03 08:41 . 2008-06-14 19:32 273,024 -----c--- F:\WINDOWS\system32\dllcache\bthport.sys
2008-08-03 08:40 . 2008-05-08 16:02 203,136 -----c--- F:\WINDOWS\system32\dllcache\rmcast.sys
2008-07-25 19:57 . 2008-07-25 19:57 43,520 --a------ F:\WINDOWS\system32\CmdLineExt03.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 12:43 --------- d-----w F:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2008-08-17 21:28 --------- d-----w F:\Programme\AdVantage
2008-08-15 16:59 --------- d-----w F:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-07-25 18:37 --------- d-----w F:\Programme\Gemeinsame Dateien\InstallShield
2008-07-11 13:34 --------- d-----w F:\Programme\AGEIA Technologies
2008-07-11 13:33 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-07 20:26 253,952 ----a-w F:\WINDOWS\system32\es.dll
2008-06-29 09:50 60,416 ----a-w F:\WINDOWS\ALCFDRTM.EXE
2008-06-24 16:42 74,240 ----a-w F:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w F:\WINDOWS\system32\wininet.dll
2008-06-21 18:47 --------- d-----w F:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BSplayer Pro
2008-06-21 18:41 --------- d-----w F:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Winamp
2008-06-20 17:46 247,296 ----a-w F:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w F:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w F:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w F:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-07 18:46 108,144 ----a-w F:\WINDOWS\system32\CmdLineExt.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"SpybotSD TeaTimer"="e:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="F:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"Adobe Reader Speed Launcher"="F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"AVG8_TRAY"="d:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-17 13:21 1232152]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 F:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

F:\Dokumente und Einstellungen\xxx\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - F:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 21:57:56 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"D:\\Programme\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\Age of Wonders II\\AoW2.exe"=
"D:\\Programme\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;F:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-17 13:21]
R2 avg8wd;AVG Free8 WatchDog;d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-17 13:21]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;F:\WINDOWS\system32\drivers\AtiHdmi.sys [2007-11-14 21:48]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;F:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - F:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\h3b4w0ax.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 14:54:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 14:55:41
ComboFix-quarantined-files.txt 2008-08-18 12:55:38

Pre-Run: 1,299,210,240 Bytes frei
Post-Run: 1,291,685,888 Bytes frei

104

SASW hatte nur alte cookies gefunden, die ich dann auch noch schnell entfernen lassen habe.

Malewarebytes hatte nichts gefunden.

und dann hier noch der neue highjackthis Bericht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:07, on 18.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
F:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
F:\Programme\OpenOffice.org 2.3\program\soffice.exe
F:\Programme\OpenOffice.org 2.3\program\soffice.BIN
F:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis1991.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - d:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "F:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = F:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://xxx.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212386653091
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 5290 bytes

iclean log 19.08.2008 08:39:22

Windows XP SP3, Using advanced Kernel functions

Processes
---------
544 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
612 - \??\F:\WINDOWS\system32\csrss.exe - \??\F:\WINDOWS\system32\csrss.exe
664 - \??\F:\WINDOWS\system32\winlogon.exe - \??\F:\WINDOWS\system32\winlogon.exe
716 - F:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
728 - F:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
892 - F:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
908 - F:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
984 - F:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - F:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1216 - F:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1396 - F:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1420 - F:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1620 - F:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1668 - D:\Avira\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
248 - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
324 - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe - AVG Watchdog Service (Signed)
560 - F:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
1084 - d:\PROGRA~1\AVG\AVG8\avgrsx.exe - AVG Resident Shield Service (Signed)
1916 - F:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1684 - F:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2060 - F:\WINDOWS\Explorer.EXE - Windows Explorer
2180 - F:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager
2204 - F:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe - Catalyst Control Center: Monitoring program
2212 - D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
2240 - D:\PROGRA~1\AVG\AVG8\avgtray.exe - AVG Tray Monitor (Signed)
2296 - F:\WINDOWS\system32\ctfmon.exe - CTF Loader
2412 - E:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
2488 - SUPERAntiSpywar - SUPERAntiSpywar
2656 - F:\Programme\OpenOffice.org 2.3\program\soffice.exe - OpenOffice.org 2.3
2684 - F:\Programme\OpenOffice.org 2.3\program\soffice.BIN - OpenOffice.org 2.3
2840 - F:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe - Catalyst Control Centre: Host application
2924 - D:\Programme\Mozilla Firefox\firefox.exe - Interactive Cleaner

Services
--------
F:\WINDOWS\system32\alg.exe=ALG
d:\avira\antivir personaledition classic\sched.exe=AntiVirScheduler
d:\avira\antivir personaledition classic\avguard.exe=AntiVirService
F:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
F:\WINDOWS\system32\svchost.exe=AudioSrv
d:\progra~1\avg\avg8\avgwdsvc.exe=avg8wd
F:\WINDOWS\system32\svchost.exe=Browser
F:\WINDOWS\system32\svchost.exe=CryptSvc
F:\WINDOWS\system32\svchost.exe=DcomLaunch
F:\WINDOWS\system32\svchost.exe=Dhcp
F:\WINDOWS\system32\svchost.exe=Dnscache
F:\WINDOWS\system32\svchost.exe=ERSvc
F:\WINDOWS\system32\services.exe=Eventlog
f:\windows\system32\svchost.exe=EventSystem
F:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
F:\WINDOWS\system32\svchost.exe=helpsvc
F:\WINDOWS\system32\svchost.exe=HidServ
F:\WINDOWS\system32\svchost.exe=lanmanserver
F:\WINDOWS\system32\svchost.exe=lanmanworkstation
F:\WINDOWS\system32\svchost.exe=LmHosts
F:\WINDOWS\system32\svchost.exe=Netman
F:\WINDOWS\system32\svchost.exe=Nla
F:\WINDOWS\system32\services.exe=PlugPlay
F:\WINDOWS\system32\lsass.exe=PolicyAgent
F:\WINDOWS\system32\lsass.exe=ProtectedStorage
F:\WINDOWS\system32\svchost.exe=RasMan
F:\WINDOWS\system32\svchost.exe=RpcSs
F:\WINDOWS\system32\lsass.exe=SamSs
F:\WINDOWS\system32\svchost.exe=Schedule
F:\WINDOWS\system32\svchost.exe=seclogon
F:\WINDOWS\system32\svchost.exe=SENS
F:\WINDOWS\system32\svchost.exe=SharedAccess
F:\WINDOWS\system32\svchost.exe=ShellHWDetection
F:\WINDOWS\system32\spoolsv.exe=Spooler
F:\WINDOWS\system32\svchost.exe=srservice
F:\WINDOWS\system32\svchost.exe=SSDPSRV
F:\WINDOWS\system32\svchost.exe=TapiSrv
F:\WINDOWS\system32\svchost.exe=TermService
F:\WINDOWS\system32\svchost.exe=Themes
F:\WINDOWS\system32\svchost.exe=TrkWks
f:\windows\system32\wdfmgr.exe=UMWdf
F:\WINDOWS\system32\svchost.exe=W32Time
F:\WINDOWS\system32\svchost.exe=WebClient
F:\WINDOWS\system32\svchost.exe=winmgmt
F:\WINDOWS\system32\svchost.exe=wscsvc
F:\WINDOWS\system32\svchost.exe=wuauserv
F:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=f:\windows\system32\ctfmon.exe
000=HKCU\Run: SpybotSD TeaTimer=e:\programme\spybot - search & destroy\teatimer.exe
000=HKCU\Run: SUPERAntiSpyware=d:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: Adobe Reader Speed Launcher="f:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: AVG8_TRAY=d:\progra~1\avg\avg8\avgtray.exe
000=HKLM\Run: avgnt="d:\avira\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: SoundMan=f:\windows\soundman.exe
000=HKLM\Run: StartCCC="f:\programme\ati technologies\ati.ace\core-static\clistart.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=f:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=f:\windows\system32\sessmgr.exe
001=Firewall bypass: D:\Programme\Age of Wonders II\AoW2.exe=d:\programme\age of wonders ii\aow2.exe
001=Firewall bypass: D:\Programme\AVG\AVG8\avgupd.exe=d:\programme\avg\avg8\avgupd.exe
001=Firewall bypass: D:\Programme\Mozilla Firefox\firefox.exe=d:\programme\mozilla firefox\firefox.exe
001=Firewall bypass: D:\Programme\THQ\Gas Powered Games\GPGNet\GPG.Multiplayer.Client.exe=d:\programme\thq\gas powered games\gpgnet\gpg.multiplayer.client.exe
001=Firewall bypass: D:\Programme\THQ\Gas Powered Games\Supreme Commander\bin\SupremeCommander.exe=d:\programme\thq\gas powered games\supreme commander\bin\supremecommander.exe
020=SSODL: CDBurn=F:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=F:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=F:\WINDOWS\system32\stobject.dll
020=SSODL: WebCheck=f:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}=d:\programme\avg\avg8\avgssie.dll (AVG Safe Search)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=e:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=F:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=F:\WINDOWS\system32\shell32.dll
031=Toolbar: {A057A204-BACC-4D26-9990-79A187E2698E}=(null)
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: Extrem viele

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini
Personal: OpenOffice.org 2.3.lnk -> F:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 Noch mal sehr viele (internetseitenadressen)

# This list is Copyright 2000-2008 Safer Networking Limited
# End of entries inserted by Spybot - Search & Destroy

Und hier noch zum abschluss meine avz_sysinfo-datei.

http://rapidshare.com/files/13842787...sinfo.zip.html

Ich habe in der Host-datei vorher erheblich verkürzt, da sie mir zu lang war.

Schon einmal vielen dank.
Vielleicht findet ihr noch etwas.


Könnte es auch sein, das man meine Daten über stumpfes ausprobieren erlangt hat. Mein PW für die beiden anfänglich Sachen war vielleicht nicht unbedingt originell.
Und wurde auch über einen sehr langen Zeitraum nicht geändert.
Arggg... und mir fällt gerade ein, dass ich mich mal vom Uni-Biblioteksrechner in meinem E-Mailaccount eingelockt hatte.

Gruß Xana

Zitat:

Könnte es auch sein, das man meine Daten über stumpfes ausprobieren erlangt hat.

könnte sein, ist aber eher unwahrscheinlich.

Deine logs sind soweit sauber. Musst du wissen was du machst. Ich würde auf jeden Fall neuaufsetzten!

Ok, vielen dank soweit.
Neu aufsetzen, werd ich auch zum mir zeitlich nächsten möglichen Termin machen.

Ansonsten kann ich nur noch sagen Spitzenforum und das dieser Thread damit gelöscht werden kann.

Grüße an alle
Xana