Hallo,

ich wollte mir gestern auf einer Chat Seite eine Videokonferenz machen und dann ist mir Opera abgestürzt, das passiert ab und an und scheint an Silverlight zu liegen. Das kuriose war, daß Opera dann direkt beim Neustart abgestürzt ist. Ich habe dann versucht die gesamten Daten inkluse Verlauf zu löschen und Opera hat angefangen Sachen in die Adresszeile zu tippen, u.a. die einer IT Firma in den arabischen Emiraten oder meinen Nachnamen in das Google-Suchfeld. Für mich sah das sehr nach Remotezugriff aus, wie ich ihn aus meiner Arbeit als IT Admin kenne. Ich habe darauf hin sofort die Internetverbindung gekappt und HijackThis benutzt. Ohne Ergebnis.

Eigentlich läuft mein System über einen Router und die Windows-Firewall ist an, ich habe auch Avira AntivirPremium am Laufen, die einzige Schwachstelle am System mag meine Internetkamera sein, die über ein ActiveX-Applet läuft und deren URL via DynDNS upgedated wird sowie LogMeIn-Free - dessen Logfiles zeigen aber keinen Remotezugriff.

Zitat:

Computer Description Subscription Type Start Date Renewal Date Status Last online Last Remote Session Last known IP address Install date Software version
FRANKENSTEIN2 LogMeIn Free Sep 18 2008 Mar 15 2020 Active Jan 13 2009 23:37 Dec 23 2008 14:15 89.125.167.93 Sep 29 2008 784

Kennt jemand dieses Verhalten oder ist bekannt daß Opera manchmal so verrückt spielt und wenn ja, wie käme dann mein Familenname ins Google-Suchfeld?! Eigentlich unmöglich!

Wollte gestern abend noch vor dem Schlafengehen eine Runde Fallout 3 spielen. Mein Char steht auf einer Brücke, Gewehr auf dem Rücken. Ich habe diesen Spielstand geladen und den Char dann stehen gelassen um auf der Karte offline nachzusehen wohin ich muss. Plötzlich nimmt der das Gewehr vom Rücken und fängt an zu schiessen. Einfach wahrlos geradeaus geschossen.

Ich dachte es liegt vielleicht was auf der Tastatur, bin raus aus Fallout, mein Keyboard gecheckt, ein Gamepad ausgesteckt - die spinnen ja manchmal. Und wieder rein in Fallout, gleiches Spiel.

Dann habe ich Notepad 2 geöffnet und gewartet, nach ein paar Sekunden erschien in der ersten Zeile "excel" und in der zweiten Zeile "igiweb" - so als ob jemand tippen würde. Es gibt einen irischen Provider der Digiweb heisst - bei dem bin ich aber nicht.

Daraufhin habe ich (wieder) die Internetverbindung gekappt. Ich denke also ich habe einen Trojaner...Mist

Ich habe mich nun in den Router eingeloggt (ihn vorher vom Modem getrennt) und dort die Firewall angeschaltet, war leider aus und das Port Forwarding und Port Triggering ausgemacht. Die Internetkamera habe ich total abgeschaltet, über sie lief DynDNS und ein ActiveX Applet sowie das Port Forwarding.

Ausserdem habe ich Avira Pro und Kaspersky IS 2009 (beta) nach den Anleitungen im Board konfiguriert und laufen lassen, die haben bei rund 45% gescannt schon einiges gefunden, z.B. eine alte (inaktive) VNC Version. Davon lief wohl allerdings der Server, so daß ich darauf tippen würde. Ich habe alles was von VNC war nun deinstalliert und die Verzeichnisse gelöscht. Wie kommt jemand aber direkt eine Minute nach dem Systemstart in mein System. Das muss doch ein Bot sein oder sitzten die Hacker vor dem PC und warten bis jemand online geht?!

Das Log von HiJack this (anbei) sieht soweit ok aus.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:56, on 13.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eazy-Ware\ezSched.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\Windows Sidebar\DUMeter.exe
O4 - HKCU\..\Run: [EazyScheduler] C:\Program Files\Eazy-Ware\ezSched.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - h**ps://secure.logmeinrescue.com/TechConsole/x86/RescueControl.cab
O16 - DPF: {299385F1-1977-426F-8CE3-07A2407E4498} (IPCamPluginDPT Control) - h**p://192.168.0.17/IPCamPluginMJPEG.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - h**p://www.facebook.com/controls/contactx.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA881F2-7477-46D3-84B3-5DB96DE229B4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Users\Hody\AppData\Local\Microsoft\Windows Sidebar\Gadgets\SkypeGadget1.2.gadget\wrapper\Skype4COM.dll
O20 - Winlogon Notify: DPWLN - C:\Windows\system32\DPWLEvHd.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8339 bytes

Die Hardwarefirewall vom Router sollte nun schon etwas Ruhe bringen und alle offenen Ports sind dort geschlossen. Ich habe keine Ahnung was ich noch tun kann um diesen Trojaner zu finden`?! Hiren Boot CD? Avert-Stinger? Windows Tool für bösartige Software?! Wie kann ich ausser einer Neuinstallation sicher stellen kann, daß das System ok ist. Bitte gebt mir Tipps wie ich dem Übel Herr werden kann.

Bitte mal den Kaspersky Log posten.

Folgende Dateien bitte bei Virustotal überprüfen lassen:

Code: Alles auswählenAufklappen

ATTFilter

 C:\Program Files\Eazy-Ware\ezSched.exe
         

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Malwarebytes' Anti-Malware:

 Downloade dir Malwarebytes herunter
 Installiere es
 Befolge die Anleitung (führe einen kompletten Scan aus!)



 Poste den entstandenen Log

C:\Program Files\Eazy-Ware\ezSched.exe ist der Scheduler von Outback Plus einem Programm zum Backup von MS Outlook, das kann ich deaktiveren. Ich backe immer "von Hand" ab.

Kannst Du mir bitte einen Link zu Blacklight geben, lt. Herstellerseite gibts das nicht mehr?!

Lade es bitte trotzdem hoch bei Virustotal!

Hier der Link:F-Secure BlackLight 2.2.1092 Download - PC-WELT

Dann meine Anleitung befolgen.

Danke, werde ich beides machen, ist es aber nicht sinnvoller F-Secure Internet Security / Virenscanner 2009 zu nehmen, da soll doch Blacklight mit drin sein?!

Nein, als erstes will ich nur nach Rootkits scannen, das hat schon alles seine Richtigkeit