Moin Leutz!
Ich bin neu hier.
Ich habe den Verdacht das ich mir nen Trojaner gefangen habe oder mein PC Schrauber die, oder irgendeine Remote Möglichkeit missbraucht.
Fühle mich irgendwie beobachtet.
Hab hier mal mein HjT. Gehört etwas nicht auf meinem PC? Ist das überhaupt so feststellbar?
Wäre für Hilfe dankbar.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:12, on 31.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\lvcomsx.exe
C:\Programme\Logitech\Video\VideoEffectsWatcher.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TuneUp Utilities 2009\OneClick.exe
C:\Programme\TuneUp Utilities 2009\RegistryCleaner.exe
E:\Foxmail\Poker\Foxmail.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Symbolleiste für Copernic Desktop Search - Home - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Programme\Copernic Desktop Search 2\Toolbar\ToolbarContainer101000313.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/Driver…sreqlab_nvd.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
--
End of file - 8087 bytes
Trojaner oder Remote Missbrauch?
-
Cybernoxx -
31. August 2009 um 18:10 -
Geschlossen
-
Hi cyberboxx und wilkommen bei winpower.
Also diese drei Einträge solltest bu unbedingt fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...65&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askR...gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dllWie begründet sich eigentlich dein Verdacht?
Warum fühlst du dich beobachtet?
Bitte ein paar Infos dazu.Gruss Peter
-
Die Geschichte...
Muss dafür ein wenig ausholen.
Ich hab meinen ersten Rechner vor ca. 20 Jahren, von ein paar Arbeitskollegen für kleines Geld bekommen, war nur ne kleine Rübe und aus Teilen gebaut, die die anderen abgelegt hatten. Aber zum surfen hats gereicht.
Ich bekam dann später ein paar Gag Mails, wie sie jeder so bekommt, hatte damals keine Ahnung und alles brav geöffnet.
Einer war von ihnen mit einem "Trojaner" behaftet, so das die Jungs jeden meiner Schritte mit bekommen konnten.
Einen Virenschutz habe ich mir damals, mangels Wissen erst später drauf gepackt und konnte natürlich später anhand dessen genau sehen, das es "DIE" Datei meiner Kollegen war, die den Trojaner in sich trug.
Mir war das natürlich sehr peinlich. Wie das so ist wenn man zum ersten mal im Netz ist, tobt man natürlich sehr umher. XXX-Bilder und Filmchen angesehen, mich an Foren beteiligt und kräftig Meinungen abgeliefert (dachte ja ich wäre anonym). Usw...
Es kamen immer mal wieder unterschwellig ein paar Andeutungen aber direkt angsprochen hatten sie mich darauf nie. Habs dann irgendwann als "Selber Schuld" + "Pech gehabt" abgehakt.
Einer der Kollegen hat echt ne Menge Dunst! Und eigentlich gehe ich immer zu ihm wenn irgendetwas ist. Meinen Rechner dagelassen habe ich aber nie. Allein aus Ansgt davor sie könnten mir irgendetwas einbauen oder installieren um diesen derben Scherz fortzusetzen.
Beim letzten mal mußte ich jedoch den Rechner, wegen Zeitmangel da lassen. Und irgendwie, meine ich, stimmt seitdem etwas nicht.
Hatte mal ein Prog installiert, das ziemlich lange brauchte. Hatte den Mauszeiger auf dem letzten Ladebalken zeigen lassen und war kurz weg. Wollte auf die Weise sehen obs weiter gegangen ist. Später stand der Mauszeiger jedoch ganz woanders auf meinem Desktop. Sonst war keiner im Haus, der Ladebalken war fast fertig, also hatte der Rechner sich auch nicht selbst wegen der Installation neu gebootet.
Ausserdem war ich letztens in einem Chat-Room und ständig war es so als wenn man ohne Nachricht zu schreiben die Entertaste drückt. Also nur der Name ohne Text dahinter. Ich wars nicht und die Taste hat auch nicht geklemmt. Dafür wars auch zu unregelmäßig. Bin deswegen auch aus dem Raum geflogen.
Vielleicht werde ich ja mittlerweile auch etwas Paranoid, aber ich wollte halt sicher gehen, das mir so ein Mist nicht nochmal passiert. Will ja nicht zum Gespött auf der Arbeit werden, nur weil ich mich halt für dies oder jenes interessiere.
Was könnte er noch gemacht haben um mich weiterhin im Auge zu behalten?
Irgendwelche Remote Funktionen? Ein Virus scheint es ja nicht zu sein. Scanne sehr regelmäßig.
Sorry für soviel Text...
Aber du hattest ja gefragt...
Cyber -
Kannst mal deine Kollegen dazu beglückwünschen, dass sie wissen wie man einen Trojaner bedient (Zur Info: Das kann jedes 12-jährige Kind nach 10 Minuten)... Gehe mal in die Registry und schreib mal auf was du unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
drin stehen hast.
Dazu noch am besten den PS im abgesichertem Modus (bevor der Windows Ladebildschirm kommt F8 drücken) von einem Virenscanner überprüfen lassen.
-
Ok!
Also unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ab (Standard)
ab Ad-Watch
ab AVG8_Tray
ab C-Media Mixer
ab NvCplDaemon
ab nwiz
ab Quick Time Task
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Runab (standard
ab ccleaner
ab Internet Mail Client
...und beglückwünscht wird nicht! Werd mir was schönes einfallen lassen, wenns ist wie ich denke!
Bin da noch für Anregungen offen.
Werd gleich im Angesicherten Modus Scannen. -
re
Hallo
In der heutigen Zeit muß man Paranoid werden,wenn man bedenkt was da an Script Kiddies herumlaufen.
Möchtest du aber ein ruhiges Gewissen haben, dann kauf dir einen Router.
Was aber noch lange nichts aussagt den es kommt immer auf den User an.Sei es Mails öffnen, Hackerseiten besuchen, Programme öffnen die man nicht kennt usw usw usw. Damit meine ich die bekannte brain.exe das beste Antiviren Programm auf den Markt!
MFG:Pennywise
-
re
Hallo
Lösung Nummer 1: System platt machen und mit Active @ Kill Disc Formatieren.
Active @ Kill Disk - Windows Vista Windows 7 Tipps Tricks Computer PC Hilfe
Lösung Nummer 2: Das System mit Malwarebytes, SuperAntispyware, Spybot Scanen und HijackThis drüber laufen lassen.
Ein Router ist nichts anderes als eine Hardware Firewall die versucht Angreifer abzublocken was aber nicht gleich heißt das du dich jetzt zu 100% sicher fühlen kannst. Einmal was falsches runtergeladen und doppel geklickt, und schon bringt dir die Firewall nichts mehr.
Fazit: 100% sicher wirst du und kannst du nie sein so dumm es klingen mag.
Wäre das der Fall,würden nicht zig Antivirenprogramme den Markt überschwemmen.Wie kommst du in den abgesicherten Modus wenn F8 nichts bringt?
Entweder du probierst alle F8 Tasten aus, oder du versuchst die brutale Methode. PC einschalten, und gleich auf den Standby Knopf solange drauf bleiben bis der PC wieder ausgeschaltet ist. Dann wird wieder die Meldung kommen.MFG:Pennywise
-
Wie komm ich den jetzt in den abgesicherten Modus beim XP?
XP mit den Pfeiltasten markieren und dann entweder F8 oder Tab wars glaube ich drücken. Dann dürften die Optionen wie abgesicherter Modus etc. auftauchen.
Ein Router ist nichts anderes als eine Hardware Firewall die versucht Angreifer abzublocken
Im Gegensatz zur Software Firewall versuchst sie nicht nur eingehenden Verkehr zu sperren, sie tut es auch, da es halt direkt im Chip einprogrammiert ist
Diese Routerfirewall kann man dann nicht so einfach abschalten. Hier aber unerheblich, da die meisten Firewalls nur den eingehenden Verkehr sperren, nach draussen aber munter Programme funken lassen. Die meisten Trojaner empfangen ihre Signale eh auf offenen Ports, etwa 20, 21, 53, 80, 110, eben weil die für einen normalen Betrieb offen sein müssen.Entweder du probierst alle F8 Tasten aus
Ich weiss ja nicht wieviele F8 Tasten du hast, aber ich hab nur 1 =)
-
re
Hallo
Entweder du probierst alle F8 Tasten aus
Öhm ich habe mich verschrieben Mensch Supersani :]
Ich meinte er soll alle F Tasten ausprobieren. Mann bist du genauMFG:Pennywise
-
Jo!
Also erstmal ein Dank für eure rege Anteilnahme!
Ich weiß das sehr zu schätzen!
Das mit dem abgesicherten Modus habe ich hinbekommen. Virenscan auch. Hat nichts gefunden. Damit habe ich aber auch irgendwie nicht gerechnet. Ich glaube so blöd sind die nicht.
Einen Trojaner würde mein Virenscan, den ich regelmäßig mache, ja irgendwann erkennen.
Ich tippe eher auf Remotemissbrauch.
Einstellungen konnten ja genug vorgenommen werden, der Rechner war ja wie gesagt lang genug in des "Kollegens" Hand.
Mir ist beim booten in den abgesicherten Modus aufgefallen, das ich 2 Benutzerkonten habe. Das sehe ich sonst nicht, beim booten überspringt das Prozedere mir die Auswahl.
Komme also beim booten direkt auf den Desktop.
Einmal gibt es das Konto "Administrator" und einmal eins mit meinem "Namen".
Könnte er vielleicht als Admin von einem externen Rechner auf mein Namenskonto zugreifen, wenn er das Remote dafür vorher freigegeben hat?
Falls ja... Wie kann ich darüber mehr erfahren?
Gibt es andere Möglichkeiten auf den Rechner mit Remote zuzugreifen? Denn auf diese Art wäre es ja kein Virus.
Oh Paranoia oh Paranoia... -
Gut wenn ich noch XP hätte...
Schau mal in den Systemeinstellungen - System. Da gibt es einen Reiter "Remoteverbindungen" (oder ähnlich).
Ist hier alles deaktiviert?
Mit welchem Benutzerkonto wirst du denn automatisch angemeldet?Ich verfolge den Thread schon seit dem ersten Posting und ich muss sagen für mich klingt es nicht so als wenn sich jemand auf deinem Rechner eingeklinkt hat. Das "Phänomen" mit der Maus kommt gerade bei optischen Mäusen gerne vor. Ein staubkörnchen und schon gehts ZAP in ne andere Ecke. Das mit dem Chat klingt zwar im ersten Moment auch komisch, lässt sich aber auch mit Softwareproblemen (Chatsystem, Java, ...) oder auch mit der Auslastung deines Systems erklären. Wenn du z.B. neben dem Chatten noch diverse Messanger, Outlook, AVG und evtl noch eine installation oder ein Update laufen hast, kommt auch ein Dual-Core kurzzeitig an seine Grenzen und kann Daten nicht, bzw. verzögert oder falsch verarbeiten.
-
Gut wenn ich noch XP hätte...
Schau mal in den Systemeinstellungen - System. Da gibt es einen Reiter "Remoteverbindungen" (oder ähnlich).
Ist hier alles deaktiviert?
Mit welchem Benutzerkonto wirst du denn automatisch angemeldet?
Die Vorschläge hatte ich vor meiner Anti-Paranois-Kampagne geschrieben
-
Also so wie ich das sehe ist es durchaus möglich das dein Rechner ferngesteuert wird.
Fakt .. wenn es so ist kann es vom laufenden Rechner aus nur sehr schwer sichtbar gemacht werden da es einige Möglichkeiten gibt kleine Schadprogramme oder keylogger unsichtbar zu machen.
Ich würde dir vorschlagen über eine RettungsCD (Live-System ? Wikipedia) zu Booten (es gibt darunter einige gute Hilfsmittel auch mit Hilfe von Linux) das hat den Vorteil das ALLE Programme die bisher unsichtbar auf deinem Rechner agierten sichtbar gemacht werden.
-
Du solltest schon ein Programm zum Reinigen des PC verwenden,
knoppicillin hat z.b. schon alles drauf, du kannst dir aber auch eine
zusammenstellen..oder diese hier:
RsLive - Linux Boot CD-ROM - News - RsHost.eu - Software Development
WindowsPower.de Artikel
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
