Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Möglicher Trojaner/Spyware (https://www.trojaner-board.de/36708-moeglicher-trojaner-spyware.html)

MagicTiger 01.03.2007 01:22
Möglicher Trojaner/Spyware
 
Hallo,

Ich befürchte ich habe einen Trojaner bzw. ein Spyware Programm auf dem Pc, welches u.a. regelmäßig meine Passwörter rausfindet, obwohl ich sie ändere und jedesmal deutlich schwieriger gestallte, sind bei einigen meiner Accounts dauernd meine Passwörter geändert bzw. die accounts verändert. Habe auch schon die laufenden Prozesse durchgesehen, konnte aber nichts finden, hoffe auf eure höhere Erfahrungen was solche Sachen angeht, vielleicht findet ihr ja was in meinen Prozessen, was euch seltsam vorkommt bzw. dort nicht hingehört oder gestartet werden sollte und könnt es mir mitteilen.

Ich danke schon mal für eure Hilfe.

Gruß Michael

hier ist die Log file:

Logfile of HijackThis v1.99.1
Scan saved at 01:21:26, on 01.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
H:\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
H:\ICQLite\ICQLite.exe
H:\Creative\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
H:\Creative\MediaSource\RemoteControl\RCMan.EXE
H:\AntiVir PersonalEdition Classic\sched.exe
H:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
H:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rsvp.exe
H:\Winamp\winamp.exe
H:\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\MAGICT~1.MAG\LOKALE~1\Temp\_PA412\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "H:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "H:\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "H:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] H:\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] H:\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

Cleriker 01.03.2007 12:49
Hi,

in deinem Hijacklog gibts nichts zu sehen. Von was
für Accounts sprichts du? Offline wie Windowsaccount
oder Online bei Mails oder Foren?

Scanne mal bitte mit Blacklight und
poste das Ergebniss.

mfg Cleriker

MagicTiger 01.03.2007 13:24
Hi,

nun habe gescannt, ohne ergebniss.. ich spreche von den online accounts. Dann gibt es eigentlich nur 2 möglichkeiten, entweder er ist sehr gut versteckt, oder es liegt daran, daß der hacker, die persönliche frage meiner email adresse raugefunden hat, und somit, sobald ich das passwort wieder ändere, es sofort wieder umändern kann, habe dem betreiber auch schon geschrieben, sodass jenes geändert werden kann. Hoffe da kommt bald was zurück, und hoffe daß der Schaden nicht allzu groß ist. Denn so wäre es theroretisch auch möglich immer nochmal, bei meinen online accounts den "passwort vergessen" button anzuklicken, auf meine email adresse zu gehen, und somit immer wieder mein passwort zu erfahren, ich tendiere mitlerweile fast mehr zur zweiten variante.

Ich danke schonmal für die Antwort, sollte sich was neues ergeben, werde ich wieder schreiben.

Gruß Michael

Cleriker 01.03.2007 13:30
Jap...

hört sich mehr nach der Variante im Onlinebereich an.
Hat wohl jemand Spaß daran, dein Passwort jedes mal
zu knacken. Hast du schon probiert, einen neuen Account
mit allem drum und dran zu erstellen?
Was mich noch interessieren würde...
Gehst du über einen Router ins Internet? Wenn ja,
schau mal nach, ob der dir Zugriffsprotokolle hinterlässt.

mfg Cleriker


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129