Liebes Forum,
Sicher habt Ihr von den im jüngster Zeit stattfindeneden Methoden gehört, die sich manch Zeitgenossen zu Nutze machen um während eine Transaktion beim homebanking an die TAN´s zu kommen.
Genau dies scheint vor kurzem bei uns stattgefunden zu haben.
Es kam die Meldung, die TAN sei schon verbraucht, jedoch nach Überprüfung der selbigen, war eben dies nicht der Fall. Natürlich haben wir sofort die Liste sperren lassen.Nach dem Trojaner den wir letztens eingefangen hatten(2ndThought.AA.1), war ich hier im Forum auf Hilfe gestoßen und habe zusätzlich zu meinem Virenprogramm und Zonealarm, escan geladen und nach Anweisung durchgeführt. Ferner habe ich bei dingens.org win32sec.exe(Dienste abschalten) heuntergeladen und auch ausgeführt. Bei escan kam außer ALEXA keine weitere Virenmeldung. IE benutze ich schon lange nicht mehr.Nach der Homebankinggeschichte habe ich den Rechner neu fomatiert. Jedoch nur Partition C. Meine zweite Partition mit den eigenen Daten jedoch nicht, da bei nochmaligem scannen auch hier keine Virenwarnung kam.
Heute ließ ich, als ich online war, von escan die ports anzeigen. Folgende Meldungen wurden angezeigt:
1. error 10022 in function WSACancelAsyncRequest invalid argument
2. Access violation at adress 00418F79 im module `viewtcp.exe´. Read of adress 64613630 (mehrmals, jedoch mit anderen Zahlen)
3. invalid pointer operation
Ferner würde ich gerne fragen was die verschiedenen Farben bei den ports zu bedeuten haben.
Da ich mich nach oben genannten Maßnahmen, zumindest einigermaßen im Sicherheit wähnte, bin ich eigentlich jetzt unsicherer als je zuvor :-(
Kann sich jemand vorstellen, wie das beim homebankig abgelaufen sein kann, was ich evtl. unterlassen habe, daß dies möglich war oder so? Damit ich da etwas klarer sehen kann, um die Risiken besser einschätzen zu können und entsprechende weitere Maßnahmen zu treffen?
Und kann jemand mit den Meldungen aus dem escan etwas anfangen.
Bin recht ratlsos und entmutigt :-) :-(
LG
laguaira

@laguaira

Zitat:

Heute ließ ich, als ich online war, von escan die ports anzeigen.

Einfach nur Spaßes halber? Oder hattest du schon ein Verdacht auf eine "undichte" Stelle?

Zitat:

Ferner würde ich gerne fragen was die verschiedenen Farben bei den ports zu bedeuten haben.

PTFM .
Es gibt auch im Internet mehrere Orte, wo man die Sicherheit seines System einigermaßen prüfen kann, z.B.:
www.pcflank.com
www.grc.com
http://bcheck.scanit.be/bcheck/

Hallo,
spaßeshalber wäre wohl nicht der richtige Ausdruck und ein konkreter Verdacht liegt nicht vor.
Vielmehr haben mich die beschriebenen Ereignisse hellhörig werden lassen und da ich Anfänger bin kann ich mit der einen oder anderen Sache nicht´s anfangen. z.B. die Meldungen von escan beim ports scannen und die Tatsache, daß sich jetzt einige Sachen gehäuft haben und das, nachdem ich gedacht habe, ich hätte meinen Rechner sicherer gemacht. Die Geschichte mit der TAN hat sich nach den vorgenommenen Maßnahmen (außer Formatierung) ereignet. Und da ich nicht richtig dahinter schaue wie das im einzelnen abgelaufen sein kann, frage ich mich ob ich wieder einen TRojaner hatte, ohne es gemerkt zu haben oder von z.B. escan erfasst worden zu sein.
Auch die Meldungen beim portscan mit escan. Ich vermute zwar, daß das mit meiner firewall zu tun haben kann, aber ich bin mir eben nicht sicher. Ich traue mich jedenfalls, da ich mitlerweile sehr verunsichert bin keine Aktionen wie onlinebanking oder mal nen download durchzuführen. Ich bin mir sicher, daß mir einiges aus Unwissenheit komisch vorkommt, was vielleicht nichts zu bedeuten hat. z.B. ob die Geschichte mit dem banking und der Trojaner zuvor im Zusammenhang stehen, obwohl ich nach dem ersten Trojaner mit allmöglichen scannen (Virenprogramm, escan, adaware) nichts gefunden hatte.
konfuse Grüße
laguaira

@laguaira
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.

Ok, mach ich

Hallo und danke schonmal im voraus
Hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:55:45, on 07.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/client/redirect/?version=3.0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C5391-8D94-486E-8947-F4D7013F3EAF}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

LG
laguaira

@laguaira

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Ansonsten ist dein Log sauber.
Wenn du der Meinung bist, dass man eine Firewall braucht, ist Zone Alarm keine gute Wahl. Guck mal hier : http://trojaner-board.de/showthread....light=Firewall
http://faq.underflow.de/#SECTION000110000000000000000

Hallo Rene-gad,
zunächst einmal vielen Dank für die schnelle Hilfe.
SP 2 werde ich mir besorgen. Internt Explorer ist im log zwar gelistet, jedoch benutze ich ihn nicht sondern Opera.(?)
Danke auch für die interessanten links. Abgesehen von ZA, habe ich entsprechende Dienste abgeschaltet, benutze Opera und habe dort sicherheitsrelevante Einstellungen vorgenommen(Java, Refferer, Plug Ins usw.), scanne und aktualisiere regelmässig mit antivir, surfe nicht als Admin usw.
Jetzt die Geschichte mit der Firewall. Wenn ich richtig vestanden habe kann ich bei ausgeschalteten Diensten auf eine solche verzichten. Meinst Du mit SP2 und den getroffenen Maßnahmen ist mein Rechner sicher genug?
LG
laguaira

@laguaira

Zitat:

Meinst Du mit SP2 und den getroffenen Maßnahmen ist mein Rechner sicher genug?

Bei einem vernünftigen Internet-Verhalten - ja, beim unvernünftigen hilft auch Firewall nicht.
Du kannst deinen Rechner mit und ohne FW bei www.grc.com oder www.pcflank.com checken und Ergebnisse vergleichen. Portstand CLOSED ist schon i.O.

Danke, Du hast mir wirklich weitergeholfen.
Alles Gute
laguaira

@laguaira...

...achte bitte beim Onlinebanking im Browsereingabefenster auf https...dann bist du eigentlich auf der sicheren Seite!!


lg



Tom59