Guten Tag zusammen.
Ich habe seit ca. 1 1/2 Wochen ein Problem mit meiner Maus und vermute eine Remote Attacke dahinter. Es gab bisher 3 Vorfälle.
Das erste mal vor 1 1/2 Wochen, verlor ich plötzlich während des Spielen von WoW ( WorldofWarcraft) die Kontrolle über meine Maus. Die Maus begann wild hin und her zu fahren, ich drückte die Windows Taste, und sah dass sich verschiedene Ordner geöffnet hatten. Es hatte sich der Systemordner mit den installierten Programmen geöffnet und dieser wurde gerade mit Winrar gepackt und versucht per email verschickt zu werden. Bevor dies jedoch zu Ende gebracht werden konnte, zog ich den Internet Stecker. Daraufhin hab ich erstmal versucht das System auf Viren zu prüfen und habe sämtliche Windows Updates aktuallisiert.
3 Tage lang ist dann auch erst einmal nichts ungewöhnliches mehr passiert, bis sich dann der selbe Vorfall erneut ereignete, mit dem Unterschied , dass ich alle Programme zum packen und versenden deinstalliert hatte. Wieder wurde der gleiche Ordner wie oben beschrieben geöffnet und auch markiert, gleichzeitig wurde mein Emailprogramm geöffnet, da ich jedoch meine Konten gesperrt hatte, hörte der Spuk auch gleich wieder auf.

Heute habe ich mein System komplett formatiert und nur das aller nötigste neu installiert ( bis zu diesem Zeitpunkt auch nur bis Servicepack 2 aktuallisiert), ich habe weder Emailkonten eingerichtet noch sonst irgendwelche Messenger oder Programme mit denen man Daten versenden könnte. 2 Stunden nach dem ich mit dem Einrichten soweit fertig war, begann ein neuer Angriff. Wieder die selben Anzeichen. Verlust über die Kontrolle der Maus, Ordner poppt auf wird markiert. Email Programm wird geöffnet, MSN wurde gestartet ...kurz darauf wieder alles ganz normal.

Mir ist dabei aufgefallen:
- dass diese Anomalien immer zwischen 22 und 1 Uhr Nachts statt finden.
- Es handelt sich immer um den selben Ordner der aufgeht und kopiert werden soll.
- dass immer neue Methoden, die Dateien zu versenden getestet wurden

Ich besitze eine optical Maus von Logitech MX518 mit den aktuellsten SetPoint Treibern. Habe den Laser auch schon auf Staub überprüft.

Hier mal das Logfile , nach dem 3ten Auftreten:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:26, on 28.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton 360 Online\osCheck.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OneNote Inhaltsverzeichnis.onetoc2
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: T-Online Dialerschutz Dienst (DFSVC) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6902 bytes

Ich weiß nicht mehr weiter , wäre nett wenn einer dazu nen guten Tipp haette. Vielen Dank im Voraus

Nagar

Hallöle.

Trenne den Rechner dringend vom Netz! => LAN-Stecker ziehen! Dieser Rechner sollte unter keine Umständen mehr Kommunikationsmöglichkeiten nach draußen haben! Alles was du aus dem Netz brauchst musst du von einem anderen PC herunterladen. Du hast Glück, dass du überhaupt bemerkst wenn jemand auf dem PC rumschnüffelt. Es kann ebenso gut sein, dass du von andern Vorgängen auf dem PC überhaupt nichts mitbekommst. Evtl. vertreilt dein Rechner grade munter Spam oder Kinderpronographie oder wird dazu genutzt weitere PCs zu hacken. Dafür bist du haftbar!
Lasse ihn also garnicht mehr an das Internet und setze ihn nach folgender Anleitung neu auf.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Das ist der Log vom Mbr, es scheint dass hier noch alles in Ordnung ist. Ich mache mich dann mal an die erneute Neuinstallation, ohne abspeichern von Daten.

Vielen vielen Dank für die schnelle und gute Antwort

Zitat:

Vielen vielen Dank für die schnelle und gute Antwort

Immer gerne.

Zitat:

Mbr, es scheint dass hier noch alles in Ordnung ist.

Jup,der MBR ist in Ordnung.
Kannst weitermachen..

Was mich allerdings stutzig macht ist, dass ich ja bereits den Rechner formatiert hatte und bereits nach 2 Stunden einen erneuten Angriff hatte.
Der MBR war ja sauber.
Dass es irgendwas mit dem Maustreiber und der Maus zu tun hat ist ausgeschlossen?!
Ich muss halt nun wahrscheinlich wenn ich das richtig machen will alle 3 Rechner am Netz neu formatieren oder seh ich das falsch.
Die andern 3 Leute im Netz haben nämlich nichts bemerkt, bei denen 3 handelt es sich ausschließlich um Familienmitglieder! Also keine bösen Buben^^

Zitat:

Dass es irgendwas mit dem Maustreiber und der Maus zu tun hat ist ausgeschlossen?!

Wenn der original von der Herstellerseite oder besser von einer original CD kommt ist der natürlich sauber.

Zitat:

Ich muss halt nun wahrscheinlich wenn ich das richtig machen will alle 3 Rechner am Netz neu formatieren oder seh ich das falsch.

Kommt drauf an wieviel Kontakt die haben/hatten und wie euer Netzwerk abgesichert ist. Wenn die Netzwerkfreigaben nicht deaktiviert wurden würde ich deinem Fall auch die anderen Rechner formatieren.

Denn der Angreifer scheint ja wirklich alles machen zu können was ihm so beliebt.

Hi,

also ich habe die Tage nun alles haar genau wie in der Anleitung beschrieben formatiert und gesichert. Außerdem habe ich die beiden anderen Rechner im Netzwerk formatiert , jedoch vorerst nicht Neu Installiert.
Bei meinem Rechner erst mal nur Internet , Nort360 , Spybot und mein Game installiert. Gerade eben ging es wieder los, mitten im Spiel macht die Mause sich wieder selbstständig ...öffnet die selben Ordner wie sonst auch. Nur war der Spuk immer nur kurz, dafür 3 mal kurz hinter einander...dann auch wieder verschiedene Ordner... Kann es sein, dass es evtl. mit dem Port den Wow benutzt zu tun hat, dass hier ständig jemand unbemerkt auf meinen Rechner zugreift. Es kann doch einfach nicht sein, dass ein Profihacke/Cracker an meinem Pc so interessiert ist, dass er sich laufend die Mühe macht sich hier rein zu schleichen und dann auch noch so dass ich das jedes mal durch die sich selbstständig machende Maus bemerke. Ich bin kurz vorm Ausflippen.
Ist Norton 360 vllt einfach nur Müll?!

hallo nagar.
teil doch mal bitte mit, wie du ins Net 'gehst' per LAN, WLAN - Modem, Router??
hast du schon mal versucht deinen Account, dein Passwort für WoW zu ändern ? der könnte evtl. auch kompromitiert sein.

cu

Also:

Wenn du definitiv nach Analeitung neuaufgestzt hast und vorallem danach vernünftig abgesichert hast dann ist dein Rechner sauber!

Norton360 und Spybot sind beide Müll. Deinstalliere die wieder.

Hast du den Rechner wirklich so wie beschrieben abgesichert?

Also ich gehe per Lan und via Router in s Inet.
Ich habe alle Daten komplett gelöscht, also rein gar nichts übernommen.
Mich wirklich genau an die Anleitungen gehalten.
ALs erstes formatiert und gleich 2 getrennte Benutzerkonten erstellt.
Firewall aktiviert und dann erst mal Windows updates gezogen. Norton installiert.
VOrerst mal keine Programme zum Daten versenden eingerichtet.
Alle Accounts und Pw geändert( unter anderem den WoW Acc).

Was für Security Tools empfiehlst du mir denn?! Wenn ich Norton und Spybot wieder kicken soll?
Soll ich evtl.mal nach ner Attacke Screens von den geöffneten Ordnern machen , damit ihr sehen koennt was genau passiert?

Ich habe mein System jetzt mal durch www.security-check.ch kontrollieren lassen und dabei festgestellt, dass anscheinend "Keine Firewall" entdeckt wurde.
Bei mir sind jedeoch die Norton 360 als auch die Wind.Xp Firewall aktiv.

Ich habe außerdem noch festgestellt, dass jedes mal kurz bevor der Rechner wieder rummspinnt. die Maus total langsam wir, also die Geschwindigkeit verändert ist. Kann diese dann auch nicht mehr manuell verändern, meißt hilft nur ein Neu Start.

hört sich ja echt krass an oO

Zitat:

Soll ich evtl.mal nach ner Attacke Screens von den geöffneten Ordnern machen , damit ihr sehen koennt was genau passiert?

Das wäre nicht schlecht.

Hat sonst noch jemand Zugriff auf den Rechner? Ich meine manuell bei dir zu Hause?

Denn wenn du nach Anleitung neuaufgestzt hast ist dein Rechner sauber. Und von alleine fliegt kein Schädling auf das System.