Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte hijackthis kog-file prüfen! (https://www.trojaner-board.de/72586-bitte-hijackthis-kog-file-pruefen.html)

henning 29.04.2009 15:36
bitte hijackthis kog-file prüfen!
 
hallo,
ist es möglich, dass jemand via internet zugriff auf meinen lap top hat und kennwörter von accounts usw.? wenn ja, wie kriege ich das raus?
hier mal mein logfile of trend micro jijackthis...ich bitte um erklärung?
vielen dank im voraus!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:20, on 29.04.2009
Platform: Windows ***
MSIE: Internet Explorer
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uigsiqq.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
d:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 9773 bytes

Chris4You 29.04.2009 16:09
Hi,

bitte das hier abarbeiten...
http://www.trojaner-board.de/69713-e...navipromo.html

Bin allerdings gleich weg, melde mich gegen später oder morgen wieder...

chris

henning 29.04.2009 16:13
kannst du schonmal sagen was man da raus liest?

Chris4You 29.04.2009 16:15
Hi,

momentan das was unter dem Link zu finden ist (Werbeeinblendungen / Fenster)...
Meist ist aber dann noch was anderes auf dem Rechner zu finden...
Daher auch noch gemäß dem Link ein paar andere Tools benutzt werden...

chris

henning 29.04.2009 16:24
ich hab das gemacht was da steht...
und verstehe nicht ganz!
du meintest man kann erkennen, dass da "was läuft auf der kiste"! kannst du mir das erklären....möchte wissen ob jemand zugriff auf meine accounts, kennwörter, usw. hat!

Chris4You 29.04.2009 16:41
Hi,

dann poste bitte wie angegeben die Logs.

Aus dem HJ-Logs ist zu erkennen, dass das hier auf Deinem Rechner ist:
Code:
O4 - HKCU\..\Run: [uigsiqq] "c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\uigsiqq.exe" uigsiqq
Aber es kann noch mehr das sein, was HJ nicht anzeigen kann, z.B. ein Rootkit, ein Trojaner der sich unter dem Namen einer validen DLL versteckt etc.

Chris

henning 29.04.2009 17:06
okay und was heisst das? bedeutet es das da jmand zugang auf meinen lap top hat? ich muss das wissen und beheben weil jemand zugang zu allen meinen tätigkeiten im net hat!

Chris4You 29.04.2009 21:16
Hi,

wir drehen uns gerade im Kreis!
Bitte poste die Ergebnisse/Logs, dann kann ich Dir es genau sagen, so kommen wir nicht weiter...

Bitte arbeite alles erforderliche für den Erstbeitrag ab (siehe Link in der Signatur) und zusätzlich das hier:
Entfernung von Navipromo!

Poste dann wie beschrieben die erforderlichen Logs für die Auswertung, sonst kommen wir hier nicht weiter...

chris

henning 29.04.2009 23:17
Search Navipromo version 3.7.6 began on 30.04.2009 at 0:05:05,00

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
BIOS :
USER : ****** ( Administrator )
BOOT : Normal boot

Antivirus : AVG 7.5.557 7.5.557 (Activated)


C:\ (Local Disk) - NTFS - Total:24 Go (Free:6 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:47 Go)
E:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\****\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\****\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uigsiqq"="\"c:\\dokumente und einstellungen\\****\\lokale einstellungen\\anwendungsdaten\\uigsiqq.exe\" uigsiqq"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" :

uigsiqq.exe found !
uigsiqq.dat found !
uigsiqq_nav.dat found !
uigsiqq_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 30.04.2009 at 0:11:48,65 ***

henning 29.04.2009 23:28
Navipromo Removal version 3.7.6 started on 30.04.2009 at 0:18:38,79

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2

BIOS :
USER : *****( Administrator )
BOOT : Normal boot

Antivirus : AVG 7.5.557 7.5.557 (Activated)


C:\ (Local Disk) - NTFS - Total:24 Go (Free:6 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:47 Go)
E:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\****\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\****\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\*****\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *



* In "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" *


uigsiqq.exe found !
Copy uigsiqq.exe done !
uigsiqq.exe deleted !

uigsiqq.dat found !
Copy uigsiqq.dat done !
uigsiqq.dat deleted !

uigsiqq_nav.dat found !
Copy uigsiqq_nav.dat done !
uigsiqq_nav.dat deleted !

uigsiqq_navps.dat found !
Copy uigsiqq_navps.dat done !
uigsiqq_navps.dat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 30.04.2009 at 0:22:21,06 ***

henning 30.04.2009 01:34
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/30/2009 at 02:08 AM

Application Version : 4.26.1002

Core Rules Database Version : 3871
Trace Rules Database Version: 1819

Scan type : Complete Scan
Total Scan Time : 01:20:33

Memory items scanned : 231
Memory threats detected : 0
Registry items scanned : 6641
Registry threats detected : 0
File items scanned : 20725
File threats detected : 15

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@www.euros4click[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@server.iad.liveperson[3].txt
C:\Dokumente und Einstellungen\****\Cookies\****@account.live[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@weborama[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@adserving.favorit-network[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@euros4click[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@traffictrack[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@imrworldwide[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@www.etracker[2].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE

henning 30.04.2009 02:44
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2060
Windows 5.1.2600 Service Pack 2

30.04.2009 03:41:23
mbam-log-2009-04-30 (03-41-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 183605
Laufzeit: 1 hour(s), 1 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You 30.04.2009 06:48
Hi,

das sieht okay aus, navilog hat das entfernt was ich gesehen habe...
Wir prüfen noch auf einen Rootkit:

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Eownload EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

henning 30.04.2009 10:17
okay super dank dir:)
was heisst das jetzt?
diese cookies wo immer mein name steht und dann @irgendwas....????
hat jemand da sich zugriff auf meine aktionen im net verschafft?

Chris4You 30.04.2009 10:31
Hi,

bitte noch Gmer durchführen...
Cookies sind nur "Merker", bisher nichts beunruhigendes.
Näheres nach Gmer...

chris

henning 30.04.2009 10:35
super dank dir für deine hilfe? in welchem interesse machst du das? ist das nicht alles kostenlos für mich hier?
gmer läuft...

henning 30.04.2009 12:29
ich glaube es ist nun durch...es passiert nix mehr! aber wo ist das log?

Chris4You 30.04.2009 12:37
Hi,

den musst Du aus Gmer rauskopieren (da gibt es einen Button "copy", der das Log ins Clipboard kopiert, von da kannst Du es dann hier einfügen)...

http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
bzw.
http://virus-protect.org/artikel/bilder/gm5.png

chris

henning 30.04.2009 12:41
oh nein...ich habe als nix mehr passierte auf ok gedrückt und gmer hat sich geschlossen:( danach kam nix mehr! finde ich den bericht noch? oder muss ich nochmal alles neu starten?

Chris4You 30.04.2009 12:51
Hi,

das sieht dann eher nach: nochmal
aus...

Aber wenn Gmer nichts von sich gegeben hat, sieht es eigentlich auch gut aus (allerdings habe ich in einem Thread einen Rootkit, den Gmer angezeigt hat aber nicht als solchen erkannt hat... daher ist drüberschauen doch besser...)

chris

henning 30.04.2009 13:06
okay mist...es läuft schon und er listet wieder seine gefundenen sachen auf....wenn ich unten sehe er sucht nicht mehr, dann klicke ich auf copy und dann öffnet sich ein fenster mit dem bericht, den ich dann hier reinkopiere. richtig?
danke:)

Chris4You 30.04.2009 13:08
Fast,
mit copy copiert er es ins clipboard, ovn dort kannt du es über CTRL+V hier einfügen (oder rechte Maustaste und dann einfügen)...
chris

henning 30.04.2009 17:12
wo finde ich jetzt das clipboard?

henning 30.04.2009 18:21
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-04-30 19:18:40
Windows 5.1.2600 Service Pack 2


---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671777 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446716F8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4467173C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 44671684 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446716BE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446717B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2968] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671777 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446716F8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4467173C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 44671684 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446716BE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446717B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3272] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

Device \Driver\Tcpip \Device\Ip avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\Tcp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\Udp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\RawIp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\IPMULTICAST avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)

Chris4You 30.04.2009 19:35
Hi,

ist Okay...

chris

henning 30.04.2009 20:12
hi, muss ich diese gefundenen sachen nicht löschen? was bedeuten die?
gibt es keine andere möglichkeit das jemand zugang auf meine konten hat? ich bin mir 100% sicher das jemand meine accounts manipuliert! vielen dank

Chris4You 30.04.2009 20:24
Hi,

wie kommst Du darauf, dass Deine Accounts gehackt wurden?

Da finden Umleitungen/Absprünge statt...
Wir können die beiden Dateien ja mal online prüfen lassen:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:

C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\IEFRAME.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Das Gmer-Log ist nicht vollständig... Bitte den Rest posten...

chris

henning 30.04.2009 20:38
okay läuft....
absprünge? ableitungen? also kannst du sehen dass jemand auf meinen laptop zugreifen kann?

henning 30.04.2009 20:41
genau das ist es...gmer läuft nicht bis zum schluss...jedesmal schliesst sich das fenster oder wird abgebrochen....da hat jemand zugriff!!!!

Chris4You 30.04.2009 20:47
Hi,

Du hast noch nicht die Frage beantwortet, wie Du darauf kommst, dass Deine Accounts gehackt wurden...

Probieren wir Avira:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

henning 30.04.2009 20:47
a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.160 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.30 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 -
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.30 -
eTrust-Vet 31.6.6484 2009.04.30 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.720 2009.04.30 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5601 2009.04.30 -
McAfee+Artemis 5601 2009.04.30 -
McAfee-GW-Edition 6.7.6 2009.04.30 -
Microsoft 1.4602 2009.04.30 -
NOD32 4047 2009.04.30 -
Norman 6.01.05 2009.04.30 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.30 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.30 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 -
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.30 -
weitere Informationen
File size: 6066176 bytes
MD5...: 7b893f43cb5d301df5f5b59ca84d20c9
SHA1..: 5c540974ce71857a7f4f7fc32a9a5dd1915f11f4
SHA256: 050cc59272376920cfcf7c9d52419dc1700cf71c78a3c771cb6b929cae7fbd19
SHA512: 0ba40fd5da7bcd99786bfae785976a5725b636a955ee34937af0d07d1df089ec
53c6356151c9ba1d1827af708c87edbd8ebc9b2ed488f6af19ddb9ec00c93d9a
ssdeep: 98304:wsWGgjtlYbVUQxzcFRyO3WLOx8q6H3R3Zy9a8cUo2L/E5YBLjU8/c1w:wb
lYx63cm59a8chAE5Ck

PEiD..: -
TrID..: File type identification
DirectShow filter (40.1%)
Windows OCX File (24.5%)
Win64 Executable Generic (17.0%)
Win32 EXE PECompact compressed (generic) (8.2%)
Win32 Executable MS Visual C++ (generic) (7.5%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

henning 30.04.2009 20:51
a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.29 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 -
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6483 2009.04.29 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.719 2009.04.29 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 -
Microsoft 1.4602 2009.04.30 -
NOD32 4044 2009.04.30 -
Norman 6.01.05 2009.04.29 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 636072 bytes
MD5...: a251068640ddb69fd7805b57d89d7ff7
SHA1..: c7c97a64d3c27eb942b1ee359ee0743cba31031a
SHA256: d078652b4464cdf6ba97d51bced07b72cc107db95b5450cac1a4c5b60ceb07ad
SHA512: 93046c7afaab1d66d9a55ef8daec63c2e26906734610c1eeeb3c4f5ff9aca74a
18286410b59c96f34eb0d430809cf840fb68dd29bd65bc94ca5a526823a4b939
ssdeep: 12288:r+X+pd167QhE0s7+jM+M6ugRfMMkIM7tX+pd167QhE0S7+j:qE6Ehg7mM+
M6RkMkIM7tE6Ehm74

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31b9
timedatestamp.....: 0x49a74cd5 (Fri Feb 27 02:15:49 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xef69 0xf000 5.86 eab0f451600371ba44a590686bb32497
.data 0x10000 0x1054 0xe00 1.90 1d568759ac4b68002a01817462247a7f
.rsrc 0x12000 0x883d8 0x88400 6.87 76b83c07cbec5f4801f1ca76d7817323
.reloc 0x9b000 0xde0 0xe00 6.45 1b584e4f8c0fdbb290a0f77c1c975880

( 12 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegEnumValueW, RegEnumKeyW, RegSetValueExW, RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegQueryInfoKeyW, RegQueryValueW
> KERNEL32.dll: InitializeCriticalSection, SetErrorMode, HeapSetInformation, SetUnhandledExceptionFilter, DeleteCriticalSection, GetCommandLineW, LocalAlloc, ExpandEnvironmentStringsW, LocalFree, CreateMutexW, GetLastError, RaiseException, LoadLibraryA, WaitForSingleObjectEx, CreateFileMappingW, GetFileAttributesExW, CompareFileTime, lstrcmpW, LoadLibraryW, CompareStringW, InitializeCriticalSectionAndSpinCount, GetCurrentDirectoryW, WaitForSingleObject, GetSystemDefaultLCID, GetUserDefaultLCID, EnterCriticalSection, LeaveCriticalSection, SearchPathW, FindResourceW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, FreeLibrary, GetLocaleInfoW, CreateFileW, LoadLibraryExW, FindResourceExW, LoadResource, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, OutputDebugStringA, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange, MapViewOfFile, GetCurrentProcessId, OpenProcess, CreateEventW, GetCurrentThreadId, CreateProcessW, WaitForMultipleObjects, UnmapViewOfFile, lstrlenW, GetModuleHandleW, GetProcAddress, SetDllDirectoryW, SetLastError, CloseHandle, ReleaseMutex, GetVersionExW, GetModuleFileNameW, GetLongPathNameW
> GDI32.dll: CreateFontIndirectW, GetObjectW, DeleteObject
> USER32.dll: CharNextW, CharUpperW, GetUserObjectInformationW, GetThreadDesktop, GetParent, DialogBoxParamW, IsDlgButtonChecked, EnableWindow, EndDialog, SetDlgItemTextW, GetDlgItem, LoadStringW, MessageBoxW, AllowSetForegroundWindow, SendDlgItemMessageW, SendMessageW
> msvcrt.dll: __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, memcpy, memmove, _terminate@@YAXXZ, _controlfp, _unlock, _lock, _onexit, _errno, __2@YAPAXI@Z, __3@YAXPAX@Z, wcsstr, memset, _vsnwprintf, wcsncmp, _wcsicmp, _wcsnicmp, bsearch, _wtoi, wcschr, __dllonexit
> ntdll.dll: RtlUnwind
> SHLWAPI.dll: -, -, PathRemoveFileSpecW, PathAppendW, PathQuoteSpacesW, SHGetValueW, StrStrW, UrlApplySchemeW, UrlCreateFromPathW, PathCombineW, UrlCanonicalizeW, -, PathIsURLW, PathAddBackslashW, -, SHEnumValueW, SHQueryValueExW, -, SHRegGetValueW, SHSetValueW, StrToIntExW, SHDeleteKeyW, PathUnquoteSpacesW, PathFindFileNameW
> SHELL32.dll: -, CommandLineToArgvW
> ole32.dll: CoInitialize, CoTaskMemFree, CoUninitialize, CoTaskMemAlloc, CoCreateInstance, StringFromGUID2, CoGetTreatAsClass
> urlmon.dll: -
> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

henning 30.04.2009 21:04
Datei iexplore.exe empfangen 2009.04.30 08:56:24 (CET)
Status: Beendet

Ergebnis: 1/40 (2.50%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.30 -
AhnLab-V3 5.0.0.2 2009.04.30 -
AntiVir 7.9.0.156 2009.04.30 -
Antiy-AVL 2.0.3.1 2009.04.30 -
Authentium 5.1.2.4 2009.04.30 -
Avast 4.8.1335.0 2009.04.29 -
AVG 8.5.0.327 2009.04.29 -
BitDefender 7.2 2009.04.30 -
CAT-QuickHeal 10.00 2009.04.30 -
ClamAV 0.94.1 2009.04.30 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.30 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6483 2009.04.29 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.30 -
Fortinet 3.117.0.0 2009.04.30 -
GData 19 2009.04.30 -
Ikarus T3.1.1.49.0 2009.04.30 -
K7AntiVirus 7.10.719 2009.04.29 -
Kaspersky 7.0.0.125 2009.04.30 -
McAfee 5600 2009.04.29 -
McAfee+Artemis 5600 2009.04.29 -
McAfee-GW-Edition 6.7.6 2009.04.30 -
Microsoft 1.4602 2009.04.30 -
NOD32 4044 2009.04.30 -
Norman 6.01.05 2009.04.29 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.30 -
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.30 -
Rising 21.27.31.00 2009.04.30 -
Sophos 4.41.0 2009.04.30 -
Sunbelt 3.2.1858.2 2009.04.29 -
Symantec 1.4.4.12 2009.04.30 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.30 -
VBA32 3.12.10.4 2009.04.30 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.4.30.1716 2009.04.30 -
VirusBuster 4.6.5.0 2009.04.29 -
weitere Informationen
File size: 636072 bytes
MD5...: a251068640ddb69fd7805b57d89d7ff7
SHA1..: c7c97a64d3c27eb942b1ee359ee0743cba31031a
SHA256: d078652b4464cdf6ba97d51bced07b72cc107db95b5450cac1a4c5b60ceb07ad
SHA512: 93046c7afaab1d66d9a55ef8daec63c2e26906734610c1eeeb3c4f5ff9aca74a
18286410b59c96f34eb0d430809cf840fb68dd29bd65bc94ca5a526823a4b939
ssdeep: 12288:r+X+pd167QhE0s7+jM+M6ugRfMMkIM7tX+pd167QhE0S7+j:qE6Ehg7mM+
M6RkMkIM7tE6Ehm74

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31b9
timedatestamp.....: 0x49a74cd5 (Fri Feb 27 02:15:49 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xef69 0xf000 5.86 eab0f451600371ba44a590686bb32497
.data 0x10000 0x1054 0xe00 1.90 1d568759ac4b68002a01817462247a7f
.rsrc 0x12000 0x883d8 0x88400 6.87 76b83c07cbec5f4801f1ca76d7817323
.reloc 0x9b000 0xde0 0xe00 6.45 1b584e4f8c0fdbb290a0f77c1c975880

( 12 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegEnumValueW, RegEnumKeyW, RegSetValueExW, RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegQueryInfoKeyW, RegQueryValueW
> KERNEL32.dll: InitializeCriticalSection, SetErrorMode, HeapSetInformation, SetUnhandledExceptionFilter, DeleteCriticalSection, GetCommandLineW, LocalAlloc, ExpandEnvironmentStringsW, LocalFree, CreateMutexW, GetLastError, RaiseException, LoadLibraryA, WaitForSingleObjectEx, CreateFileMappingW, GetFileAttributesExW, CompareFileTime, lstrcmpW, LoadLibraryW, CompareStringW, InitializeCriticalSectionAndSpinCount, GetCurrentDirectoryW, WaitForSingleObject, GetSystemDefaultLCID, GetUserDefaultLCID, EnterCriticalSection, LeaveCriticalSection, SearchPathW, FindResourceW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, FreeLibrary, GetLocaleInfoW, CreateFileW, LoadLibraryExW, FindResourceExW, LoadResource, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, OutputDebugStringA, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange, MapViewOfFile, GetCurrentProcessId, OpenProcess, CreateEventW, GetCurrentThreadId, CreateProcessW, WaitForMultipleObjects, UnmapViewOfFile, lstrlenW, GetModuleHandleW, GetProcAddress, SetDllDirectoryW, SetLastError, CloseHandle, ReleaseMutex, GetVersionExW, GetModuleFileNameW, GetLongPathNameW
> GDI32.dll: CreateFontIndirectW, GetObjectW, DeleteObject
> USER32.dll: CharNextW, CharUpperW, GetUserObjectInformationW, GetThreadDesktop, GetParent, DialogBoxParamW, IsDlgButtonChecked, EnableWindow, EndDialog, SetDlgItemTextW, GetDlgItem, LoadStringW, MessageBoxW, AllowSetForegroundWindow, SendDlgItemMessageW, SendMessageW
> msvcrt.dll: __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, memcpy, memmove, _terminate@@YAXXZ, _controlfp, _unlock, _lock, _onexit, _errno, __2@YAPAXI@Z, __3@YAXPAX@Z, wcsstr, memset, _vsnwprintf, wcsncmp, _wcsicmp, _wcsnicmp, bsearch, _wtoi, wcschr, __dllonexit
> ntdll.dll: RtlUnwind
> SHLWAPI.dll: -, -, PathRemoveFileSpecW, PathAppendW, PathQuoteSpacesW, SHGetValueW, StrStrW, UrlApplySchemeW, UrlCreateFromPathW, PathCombineW, UrlCanonicalizeW, -, PathIsURLW, PathAddBackslashW, -, SHEnumValueW, SHQueryValueExW, -, SHRegGetValueW, SHSetValueW, StrToIntExW, SHDeleteKeyW, PathUnquoteSpacesW, PathFindFileNameW
> SHELL32.dll: -, CommandLineToArgvW
> ole32.dll: CoInitialize, CoTaskMemFree, CoUninitialize, CoTaskMemAlloc, CoCreateInstance, StringFromGUID2, CoGetTreatAsClass
> urlmon.dll: -
> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Chris4You 30.04.2009 21:07
Hi,

die signatur ist zerstört, das kann aber auch durch Windowsmodifikationen passieren (z. B. Styler)... Wenn Du das weg haben willst, musst Du den Inetexplorer neu installieren...

Ach, die Frage wurde noch nicht beantwortet... :o)

chris

henning 30.04.2009 21:13
signatur zerstört? was bedeutet das genau?
weil kontakte in meinen accounts angeschrieben werden, dass heisst jemand muss mein kennwort kennen. ich habe es mehrfach gewechselt aber ohne erfolg. also kann es nur sein, dass jemand genau sehen kann was ich eintippe.
avira-link lässt sich nicht öffnen! super wie du das hier machst!!! wozu machst du das?

henning 30.04.2009 21:22
kannst du absolut ausschliessen, dass jemand auf meinen lap top zugriff hat? oder gibt es noch andere möglichkeiten?
avira läuft.....

henning 30.04.2009 21:26
oh sehe gerade, dass meine mail falsch "gelesen" werden könnte;)
ich meine es total ernst wie toll du das hier machst....mit dieser ruhe! und hab nur gefragt wozu du dir diese mühe gibst ahnungslosen wie mir zu helfen:)

henning 01.05.2009 12:32
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-01 13:30:46
Windows 5.1.2600 Service Pack 2


---- User code sections - GMER 1.0.15 ----

.text C:\Programme\MSN Messenger\msnmsgr.exe[1508] kernel32.dll!SetUnhandledExceptionFilter 7C8447ED 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)

Device \Driver\Tcpip \Device\Ip avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\Tcp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\Udp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\RawIp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
Device \Driver\Tcpip \Device\IPMULTICAST avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)

---- EOF - GMER 1.0.15 ----

henning 01.05.2009 12:33
ich habe nichts geändert und plötzlich kommen weniger gefundene sachen beim durchlaufen von gmer raus!?!?

henning 01.05.2009 14:55
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/01/2009 at 02:33 PM

Application Version : 4.26.1002

Core Rules Database Version : 3873
Trace Rules Database Version: 1819

Scan type : Complete Scan
Total Scan Time : 00:54:52

Memory items scanned : 547
Memory threats detected : 0
Registry items scanned : 6645
Registry threats detected : 0
File items scanned : 20765
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@weborama[2].txt
C:\Dokumente und Einstellungen\***\Cookies\****@msnportal.112.2o7[1].txt

Adware.Vundo/Variant-MSFake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{EEC518AE-6B90-4E61-A18C-D7ABAA266E22}\RP2\A0000019.EXE

henning 01.05.2009 14:57
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/01/2009 at 03:51 PM

Application Version : 4.26.1002

Core Rules Database Version : 3873
Trace Rules Database Version: 1821

Scan type : Complete Scan
Total Scan Time : 00:47:16

Memory items scanned : 541
Memory threats detected : 0
Registry items scanned : 6644
Registry threats detected : 0
File items scanned : 20831
File threats detected : 10

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\****@webmasterplan[2].txt
C:\Dokumente und Einstellungen\****\Cookies\***@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\****\Cookies\***@www.euros4click[2].txt
C:\Dokumente und Einstellungen\***\Cookies\****@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@weborama[2].txt
C:\Dokumente und Einstellungen\****\Cookies\****@euros4click[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@traffictrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\****\Cookies\****@tracking.quisma[2].txt

henning 01.05.2009 15:03
habe jetzt zum 3. mal super antispyware durchgeführt und anschliessend alle tracking cookies gelöscht....dann sofort wieder einen scan gemacht und erneut tracking cookies gefunden....wie geht das?
habe dann gegooglet was diese tracking cookies sind und speziell diese die ich drauf hab....und da steht explizit drinne, dass sie sehr gefährlich sind und an dritte passwörter geben und besuchte seiten aufzeichnen! also einen komplett kontrollieren können! das würde mein problem erklären....stimmt das so? und wenn ja wie löse ich das problem? wie krieg ich raus wer das ist?

Chris4You 01.05.2009 20:25
Hi,

cookies sind text-container in denen sich webanwendungen einige sachen merken, z.B. hotmail deinen usernamen. Du kannst in Firefox z.b. unter extras->Einstellungen->Datenschutz die annahme von cookies abstellen. dann verhält sich jede page so als wenn du sie zum ersten mal aufrufst.
die meisten cookies kommen beim surfen automatisch zustande, sobald eine werbung etc. auf einer seite auftaucht, setzt die ein cookie. damit kann dann tatsächlich untersucht werden, wie oft, woher, wer, etc. die seite angesurft hat.
Zu Deinem Problem. Wenn ich Dich richtig verstanden habe, dann schreibt einer unter Deinem Namen und unter Deinem Account Mails bzw. unter zuhilfename deiner Kontaktdatenbank? das kann aber auch über andere mechanismen erfolgen... verwendest du einen wirelessrouter?

chris

henning 01.05.2009 20:43
ja genau richtig! ja verwende wlan internet! wieso was ist da möglich?

Chris4You 01.05.2009 22:32
Hi,

welche Verschlüsselung benutzt Du (WEP)?
Das ist innerhalb weniger Sekunden geknackt und dann gibt es da eine Sache die sich "man in the middle" nennt. Das setzt allerdings technsich versierte Anwohner oder wardriver voraus...In der Ct war mal ein schöner Artikel drin.

Es langt aber auch nur ein schwaches Passwort um die Adressdaten auslesen zu können.

Letztendlich lässt sich auch der Absender einer Mail fälschen...
Wenn es massenemails gewesen wären, dann hätte Dir der Provider schon längst den Account gesperrt...

chris

henning 01.05.2009 23:05
wie krieg ich die verschlüsselung raus?
ich glaube dass jemand meinen lap top genommen hat als ich nicht da war...und dann ein programm oder ein netzwerk hergestellt hat oder mit einem virus oder so....aufjedenfall kann die person sehen wann ich online bin und alles sehen was ich im net mache und meine passwörter raus kriegen.
fakt ist: jemand kann sehen was ich im net mache und hat zugriff auf meine accounts....also kennt meine passwörter!
geht das auch mit meiner ip-adresse?

Chris4You 01.05.2009 23:49
Hi,

das verlässt meinen Kompetenzbereich, wende Dich an die Netzwerker:
http://www.trojaner-board.de/uberwachung-datenschutz-und-spam/

chris

henning 02.05.2009 01:49
dank dir für deine super verständliche und sachliche art! echt top!!!!
werde mich an sie wenden....also zum abschluss ist festzuhalten dass ich defintiv hier kein virus oder so problem habe? von dem was du hier alles gesehen hast, ist alles in ordnung!?!
lieben gruss und alles gute:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131