Meine Daten wurden geklaut!

JacKJodel23 · 24.08.2008, 20:59

Hallo Leute

ich hab ein Dickes Problem und zwar wurde ich vor kurzem gehackt, erst hat sich mein passwort von meiner email adresse geändert(das konnte ich aber wieder erneuern), und jemand hat unter meinen namen bei amazon was bestellt gehabt, zum glück wurde dieses konto gesperrt, da amazon endeckt hat, dass ich einem betrüger zum opfer gefallen bin. jetzt habe ich mir bitdefender internet security und kaspersky antivirus geholt und habe einen virenscann ausgeführt, folgende trojaner wurden gefunden:

deleted: Trojan program Trojan-Dropper.Win32.VB.afv File: C:\Users\Thomas\AppData\Local\Temp\Kaspersky Internet Security Live-Update.exe

und

deleted: Trojan program Trojan-PSW.Win32.VB.lr File: C:\Users\Thomas\AppData\Local\Temp\killsrvr.exe

sowie

deleted: virus P2P-Worm.Win32.Polip.a File: C:\Users\Thomas\AppData\Local\Temp\kis7.0.1.325de.exe

Nach einer gewissen Zeit hat Bitdefender einen Portscann geblockt 2 Stunden später noch einen von dieser ip
217.88.170.26.

dannach war ich mir unsicher und habe mein wlan deaktiviert. jetzt versuche ich knopicillin 6 über nacht laufen zu lassen(ein knoppix virenscanner bestehend aus 3 scannern)

So was ich gerne wissen möchte, was kann ich gegen so einen virenangriff tun? gibts da noch eine möglichkeit meinen rechner gegen solche trojaner oder andere zu schützen?

aja und ich habe vista 64bit mit allen updates drauf

Gruß
JacKJodel

cosinus · 24.08.2008, 21:24

Hallo und

Du benutzt WLAN - darf man mal aus Sicherheitsgründen erfahren, ob es verschlüsselt ist und wenn ja, wie? Also ob WPA/WPA2/WEP?

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

JacKJodel23 · 25.08.2008, 13:14

1. HijackLogfile

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:07, on 25.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.2.6.26.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - "C:\Program Files\BitDefender\BitDefender 2009\Antispam32\IEToolbar.dll" (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [H2O] "C:\Program Files (x86)\SyncroSoft\Pos\H2O\cledx.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit BitComet downloaden - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet &d&ownloaden - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet &downloaden - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files (x86)\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files (x86)\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{988F31B7-3429-4229-BB5E-32820721036D}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{988F31B7-3429-4229-BB5E-32820721036D}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{988F31B7-3429-4229-BB5E-32820721036D}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{988F31B7-3429-4229-BB5E-32820721036D}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8362 bytes

2. Systemwiederherstellung wurde deaktiviert

3.MBR Tool Ausgabe

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Habe versucht das MBR Tool mit Administrator Rechten zu starten, funktioniert auch nicht (vielleicht liegt es am Vista64)

4.1. Backlight Logfile

Code:

ATTFilter

08/25/08 13:31:49 [Info]: BlackLight Engine 1.0.70 initialized
08/25/08 13:31:49 [Info]: OS: 6.0 build 6001 (Service Pack 1)
08/25/08 13:31:49 [Note]: 7019 4
08/25/08 13:31:49 [Note]: 7005 0
08/25/08 13:31:55 [Note]: 7006 0
08/25/08 13:31:55 [Note]: 7027 0
08/25/08 13:31:55 [Note]: 7035 0
08/25/08 13:31:55 [Note]: 7026 0
08/25/08 13:31:55 [Note]: 7026 0
08/25/08 13:32:00 [Note]: FSRAW library version 1.7.1024
08/25/08 13:33:40 [Note]: 4015 63514
08/25/08 13:33:40 [Note]: 4027 63514 327680
08/25/08 13:33:40 [Note]: 4020 63511 393216
08/25/08 13:33:40 [Note]: 4018 63511 393216
08/25/08 13:33:54 [Note]: 4015 56045
08/25/08 13:33:54 [Note]: 4027 56045 65536
08/25/08 13:33:54 [Note]: 4020 56044 65536
08/25/08 13:33:54 [Note]: 4018 56044 65536
08/25/08 13:34:21 [Note]: 4015 2062
08/25/08 13:34:21 [Note]: 4027 2062 65536
08/25/08 13:34:21 [Note]: 4020 719 65536
08/25/08 13:34:21 [Note]: 4018 719 65536
08/25/08 13:35:23 [Note]: 4015 2062
08/25/08 13:35:23 [Note]: 4027 2062 65536
08/25/08 13:35:23 [Note]: 4020 719 65536
08/25/08 13:35:23 [Note]: 4018 719 65536
08/25/08 13:36:10 [Note]: 4015 2875
08/25/08 13:36:10 [Note]: 4027 2875 65536
08/25/08 13:36:10 [Note]: 4020 719 65536
08/25/08 13:36:10 [Note]: 4018 719 65536
08/25/08 13:41:55 [Note]: 2000 1012
08/25/08 13:43:16 [Note]: 7007 0

4.2. Malwarebytes Antimalware

Habe eine Schnellscan ausgeführt und folgendes Logfile bekommen

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1087
Windows 6.0.6001 Service Pack 1

13:50:21 25.08.2008
mbam-log-08-25-2008 (13-50-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 33981
Laufzeit: 2 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Scheinbar wurde dort auch nix gefunden...
ab diesen Punkt habe ich mein Netzwerkverbindung deaktiviert und Bitdefender und Kaspersky aus der Prozessliste abgeschossen.
Die Anleitung von CCleaner habe ich auch vollständig abgearbeitet.

5.) ComboFix

Nanu? Combofix läuft nicht unter Vista 64bit.

Lässt sich irgendwas finden?
Ich probier heute Nacht noch Knoppicillin aus und lass unter Linux noch 3 tiefgehende scanns laufen.
Aja und mein Wlan ist WEP verschlüsselt, da ich einen Repeater benutze...und ich habe es gestern Deaktiviert bis mir was einfällt wie ich den 2.ten Rechner ziemlich sicher machen kann. Nun ist es so, dass der andere Rechner auch infizierbar ist wenns blöd läuft. Evtl. mach ich die selbe Prozedur und installier Kaspersky Antivirus, Bitdefender Internet Security und lasse beide Programme scannen und unter Linux auch nochmal. Den WEP Schlüssel werde ich jetzt alle 4Tage wechseln...

Gruß
JacKJodel23

cosinus · 25.08.2008, 16:51

Hmm viele Tools sind wohl mit Vista64 inkompatibel...

Auch wenn ein potentieller Schädling übersehen werden konnte, ich vermute eher, daß Deine WEP-Verschlüsselung der Schwachpunkt, es ist schon länger bekannt, daß diese eklatante Schwächen hat und binnen kurzer Zeit geknackt werden kann.

Für max. Sicherheit: WPA2 verwenden mit einem 63 Zeichen langen Schlüssel. Du kannst Du hier einen dementsprechend langen Schlüssel per JavaScript generieren lassen.

Unterstützt der Repeater das? Wenn nicht solltest Du Dir Gedanken über einen Ersatz machen...

Meine Daten wurden geklaut!

Log-Analyse und Auswertung: Meine Daten wurden geklaut!