Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   trojaner befall - muss ich nun meine passwörter ändern? (https://www.trojaner-board.de/72602-trojaner-befall-passwoerter-aendern.html)

nitiram 30.04.2009 03:12
trojaner befall - muss ich nun meine passwörter ändern?
 
hallo

ich hatte den trojaner vendor.gen eingefangen.

habe dann das ganze system formatiert & neu aufgesetzt (sauberen backups sei dank), und nun auch zusätzliche vorsichtsmassnahmen getroffen.

ich bemerkte den trojaner nicht sofort (nach ca. 1 tag) - theoretisch kann der angreiffer nun ja meine passwörter, usernames etc ausgespäht haben.

nun meine frage: muss ich nun alle meine passwörter ändern? oder ist das nicht nötig?

danke im voraus für eure antworten.

gruss
martin

Sunny 01.05.2009 12:23
Hallo und :hallo:

Bitte zuerst die Anleitung für neue User abarbeiten -> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erst dann wird sich jemand deinem Problem annehmen! :daumenhoc

nitiram 01.05.2009 13:07
sorry, ich wusste das nicht von wegen alles in einem post.

unten nun also das log-file.

vielen dank im voraus!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:13:49, on 01.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\MEINNAME\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /FU "C:\DOKUME~1\MEINNAME\LOKALE~1\Temp\E_S8.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6939 bytes

nitiram 01.05.2009 21:22
..ich finde keinen edit-button, um mein post zu editieren.

unten auch noch der log von anti-maleware.

meine frage ist in prinzip einfach, ob mein system nun aktuell sauber ist oder irgendwo noch etwas umherschwirrt, was ich als laie nicht sehe.

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

01.05.2009 22:18:43
mbam-log-2009-05-01 (22-18-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|N:\|)
Durchsuchte Objekte: 124455
Laufzeit: 51 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

nitiram 04.05.2009 09:47
...wäre wirklich gut, wenn jemand kompetentes die logs durchsehen könnte, ob da irgendwo noch ein plagegeist rumschwirrt oder alles sauber ist.

falls noch weitere infos benötigt sein sollte, bitte bescheid geben - sollte (lt. anleitung) nun ja alles vorhanden sein.

danke im voraus,

nit.

Heinz_Peter 04.05.2009 14:43
Hallo nitiram,
Zitat:
Zitat von nitiram (Beitrag 432922)
muss ich nun alle meine passwörter ändern?
Müssen mußt Du gar nichts. Schaden kann das allerdings nie und sollte eh von Zeit zu Zeit gemacht werden. Somit ist das doch jetzt ein guter Anlaß auch mit frischen Passwörtern durchzustarten:)

Dein Log sieht sauber aus.

Folgende Programmen würde ich allerdings deinstallieren/ löschen:
Bonjour
iTunesHelper
Google Desktop
Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
Die von XP reicht vollkommen. Zusätzlich würde ich noch die Windows-Dienste abschalten falls Du nicht hinter einem Router mit NAT sitzt.

Update unbedingt deinen InternetExplorer! (von 6 auf 8).

Um Deine Programme aktuell zu halten hilft Dir PSI.

Abschließend kann ich Dir nur viel Erfolg mit brain.exe wünschen. Bleib sauber

Pete

nitiram 06.05.2009 11:17
hallo pete

vielen dank für dein post & deine ausführungen.

einige kurze fragen hätte ich:

1. windows dienste abschalten
auf der verlinkten site steht:
"Wenn Sie Windows XP SP2 haben, brauchen Sie "Windows-Dienste abschalten" nicht unbedingt. Schalten Sie die Windows-Firewall an, das genügt. "Windows-Dienste abschalten" ist primär für Windows 2000 und für Windows XP vor SP2 gedacht."

ich habe ja SP3, dh brauche ich die dienste gar nicht mehr abzuschalten - oder doch?


2.
iTunesHelper kann ich nirgends im software-dialog finden. nehme an, dies ist ein programmbestandteil von iTunes - kann ich den auch separat deinstallieren, ohne iTunes zu beeinträchtigen? ist das sehr wichtig?

Google Desktop
brauche ich oft, greift aber nur auf mails bzw. lokale ebene zu. gibt's sicherheitsvorkehrungen, ohne dass ich google desktop deinstallieren muss?

Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
das nimmt mich wunder - wieso nicht?

vielen dank & grüsse

nit

Heinz_Peter 06.05.2009 21:21
Hallo Nit,
Zitat:
Zitat von nitiram (Beitrag 434071)
"Wenn Sie Windows XP SP2 haben, brauchen Sie "Windows-Dienste abschalten" nicht unbedingt.
Ist hier im Forum immer noch eine Empfehlung. Alles was nicht läuft kann auch nicht missbraucht werden. Guckst DU-> http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:
Zitat von nitiram (Beitrag 434071)
2.
iTunesHelper...
... ist das sehr wichtig?
Nein, das ist nur unnütz und bremst evtl. deinen Rechner. Ist nur Kosmetik. Da gibt es noch mehr davon.
Wenn Du willst kannst Du folgende Einträge mit HJT fixen:
Bitte alle Anwendungen inkl. Browser schließen.
Starte HijackThis -> Do a system scan only -> mache vor folgenden Zeilen einen Haken und klicke dann "Fix checked":
Code:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
-> Rechner neustarten. Fertig.
Edit: Und wenn Du schonmal dabei bist, fixe doch folgende Einträge auch noch.
Du surfst ja hoffentlich mit Firefox oder Opera und da benötigst Du diese IE-Erweiterungen nicht.
Code:
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
Zitat:
Zitat von nitiram (Beitrag 434071)
Google Desktop
Ist reine Geschmacksache, also ich möchte nicht dass meine Dateien und Mails auf Googleservern landen... Google-Datenschutzbestimmungen

Zitat:
Zitat von nitiram (Beitrag 434071)
Zonealarm <-eine Softwarefirewall ist nicht empfehlenswert.
das nimmt mich wunder - wieso nicht?
Guckst Du ->10 Grundregeln für ein sicheres System unter Punkt3 ist das ziemlich verständlich erläutert.

Gruß Pete

nitiram 07.05.2009 10:10
hi pete

danke für deine erläuterungen!

2 letzte fragen habe ich:

1. firewall: die internet-verbindung von mir & meiner freundin läuft über ein d-link di-524 router, und geht von dort aus in das modem (zyxel p-623 ME).

kann ich mich hardwaremässig mit einem firewall schützen?
sorry für diese anfänger-frage, aber mein know-how reicht leider nicht sooo weit in solchen dingen.

2. google desktop
- wenn ich meinen (software) firewall dahingehend eingestellt habe, dass google desktop nur auf die lokale ebene, aber nicht aufs internet zugreiffen kann, dann können doch auch keine mails etc auf google servern landen, oder?

- gibt es eine andere möglichkeit, nach mails auf dem eigenen pc zu suchen?

danke dir!

nit

Heinz_Peter 07.05.2009 13:45
Zitat:
d-link di-524 router
:daumenhoc Super! Der hat doch eine NAT-Firewall eingebaut:) (Network Address Translation) Einfach einschalten, den Router mit gutem Passwort sichern und fertig.
Zitat:
- gibt es eine andere möglichkeit, nach mails auf dem eigenen pc zu suchen?
Let me Google That for you
Dazu kenne ich mich nicht aus. Keine Ahnung ob da eine sichere Alternative dabei ist. Wahrscheinlich kommst Du von dem Regen in die Traufe.

Wenn Du Google-Desktop weiterhin nutzt, solltest Du auf jeden Fall die Funktion "Suche auf mehreren Computern" deaktivieren!
Apropos:
Zitat:
..dass google desktop nur auf die lokale ebene, aber nicht aufs internet zugreiffen kann...
Da müsstest DU dann auch Google.com verbieten und zukünftig eine andere Internetsuchmaschine nutzen.

Gruß Pete


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131