|
unbekannten Trojaner wie erkennen ? Antivirenprogramme finden ihn nicht. habe auf meinem PC trotz Festplatte löschen immer noch Trojaner, die auch über verschiedene Virenscanner wie Kasperski etc. etc. nicht gefunden werden. Tastatureingaben werden - soviel ich ersehen und / oder vermuten kann, alle - mitgelesen, besuchte Internetseiten sind ersichtlich. email accounts sind trotz x-maliger password-Änderungen samt Sicherheitsabfragenänderungen immer noch einsehbar (anhängliche Menschen treiben dort ihr Unwesen). benutze fritz box für Internetzugang. ein schon mal identifizierter Trojaner war : HTML.bankfraud.oe, der in einer von mir erstellten pdf.Datei in mein Postfach "eingebaut" wurde. wer kann mir Tipps geben, wie ich der Sache + was da genau los ist, auf die Spur komme ? |
Zitat:
Aber poste erstmal von der Kiste ein Hijackthis-Logfile. |
Hallo Cosinus, sehe, daß Du online bist. sehr lieb, daß Du gleich geantwortet hast. confused brauchst Du nicht zu sein, festgestellt anhand der Tatsache, daß in meinen email accounts emails verschwinden ohne mein Zutun. Habe Kobolde zu Gast. auch auf einem chat sehe ich, daß Reaktionen auf mein tägliches Tun auf meinem PC erfolgen. Habe wohl einige Leute vorher zu gut unterhalten, die mich jetzt nicht mehr loslassen. Ein Hijack This log werde ich machen, muß aber als erstaunter Laie erstmal nachgucken, wie. spätestens morgen findest Du es hier. Vielen Dank erstmal. Bin auch Anderen für Tipps dankbar. |
|
Da die Virenscanner nicht anschlagen, wären Scans sowohl mit F-Secure Blacklight > F-Secure Blacklight als auch mit Gmer unter Umständen hilfreich. |
Hallo Ihr beiden, nett, daß ihr um diese Uhrzeit noch aktiv seid. :bussi: Hier ist mein logfile. würde mich sehr freuen, wenn ihr (oder auch gerne jemand anders) was damit anfangen kann ! Ich melde mich morgen abend noch mal. Und vielen Dank erstmal. Logfile of HijackThis v1.99.1 Scan saved at 02:35:29, on 10.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\sistray.EXE C:\WINNT\System32\khooker.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\System32\cidaemon.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\PROGRA~1\SPYWAR~1\swdoctor.exe C:\WINNT\system32\sistray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\"Name"\LOKALE~1\Temp\Rar$EX37.853\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162128702843 O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4935/mcfscan.cab O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe |
Hallo MightyMarc, Deine empfohlenen Programme werde ich umgehend auch noch ausprobieren, die fehlen noch in meiner Sammlung. Vielen Dank.:) |
Das einzig Schräge das ich sehe, ist folgender Eintrag: C:\WINNT\system32\regsvc.exe Nun kenn ich mich mit Windows 2000 so gar nicht aus, aber mMn sollte dieser Prozess nicht bei einem Heimanwender laufen. Mal schauen was Blacklight und Gmer finden. |
Hallo MightyMarc, vielen Dank nochmals. Ich bin gerade dabei. F-Secure sagt : nichts Verborgenes gefunden. Soll ich die Liste der exes einfach trotzdem hier veröffentlichen ? Gmer probiere ich sofort aus + poste den scan dann hier. Danke !!! Falls Dir (oder sonst jemand) zur "verdächtigen" Datei aus meinem Logfile noch etwas einfällt, sag es mir. Ich schaue auch noch mal bei google nach.:) :) |
Zitat:
Zitat:
|
Wegen der Passwörter: kann es vllt. sein, dass du extrem einfach Passwörter verwendest? :confused: |
So, hallo Cosinus und MightyMarc, bin ganz stolz, daß ich es geschafft habe. Hier das Ergebnis von Gmer - bedeutet das, daß ich meine dort aufgeführten Dateien besser lösche ? denn das würde mir (soweit es Dateien von mir selbst sind) nichts ausmachen, es könnte durchaus sein, daß sich darin mittlerweile irgendetwas eingenistet hat):crazy: : GMER 1.0.11.11384 - http://www.gmer.net Rootkit 2007-01-10 04:31:04 Windows 5.0.2195 Service Pack 4 ---- System - GMER 1.0.11 ---- SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwClose SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateProcess SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSection SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSymbolicLinkObject SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateThread SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteValueKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDuplicateObject SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateValueKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwFlushKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwInitializeRegistry SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey2 SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwNotifyChangeKey SSDT kl1.sys ZwOpenFile SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenProcess SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenSection SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryMultipleValueKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQuerySystemInformation SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryValueKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwReplaceKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwRestoreKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwResumeThread SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSaveKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationFile SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationProcess SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetSecurityObject SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetValueKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSuspendThread SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwTerminateProcess SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwUnloadKey SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwWriteVirtualMemory SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[248] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[249] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[250] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[251] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[252] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[253] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[254] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[255] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[256] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[257] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[258] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[259] SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[260] INT 0x31 ? FD851044 INT 0x39 ? FD9059A4 INT 0x3B ? FD84EB44 INT 0x3C ? FD8531C4 INT 0x3E ? FD9009E4 INT 0x3F ? FD932DC4 ---- Threads - GMER 1.0.11 ---- Thread 8:92 FD889A20 Thread 8:96 FD869C60 Thread 8:100 FD869C60 Thread 8:132 FD889A20 Thread 8:136 FD889A20 ---- Files - GMER 1.0.11 ---- ADS C:\“Name“\“Name“\Bewerbung Siexyz Dokumente\Unterschrift3.png: Q30lsldxJoudresxAaaqpcawXc ADS C:\“Name“\“Name“\Bewerbung xyz Dokumente\Unterschrift3.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS C:\“Name“\“Name“\Diverse „Name“\Bild1.jpg: Q30lsldxJoudresxAaaqpcawXc ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.png: Q30lsldxJoudresxAaaqpcawXc ADS C:\”Name”\”Name”\Diverse “Name”\Bild1.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift2.png: Q30lsldxJoudresxAaaqpcawXc ADS C:\”Name”\”Name”\Diverse “Name”\Unterschrift2.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS C:\”Name”\”Name”.bak\”Name”\Bewerbung Siexyz Dokumente\Unterschrift3.png: Q30lsldxJoudresxAaaqpcawXc ADS C:\“Name“\“Name“.bak\“Name“\Bewerbung Siexyz Dokumente\Unterschrift3.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ADS ... ---- EOF - GMER 1.0.11 ---- Fällt Euch dazu was ein ? Die Liste von F-Secure kann ich auch noch hier einstellen, falls das Euch etwas sagen könnte oder anderen hilfsbereiten Geistern. DANKE !! |
Nein, eher ändere ich sie alle paar Tage, egal ob kompliziert oder nicht, nützt das alles nichts, ich glaube, daß direkt auf dem PC die Daten abgefangen werden, sobald ich ein neues password eingebe. |
(das war die Antwort für Cosinus):crazy: |
Hallo, :) alle + Cosinus :) und MightyMarc :) , ihr seid ja noch lange wach, wie gesagt hat die Untersuchung mit F-Secure nichts "offiziell" Verdächtiges gemeldet, aber hier ist die Liste, die ich erhielt - hoffe, Euch kann das trotzdem was sagen - : 1. system idle process 2. system 3. smss.exe 4. winlogon.exe 5. csrss.exe 6. services.exe 7. lsass.exe 8. svchost.exe 9. spoolsv.exe 10. avp.exe 11. cisvc.exe 12. svchost.exe (hier zum 2. mal) 13. regsvc.exe 14. MSTask.exe 15. slserv.exe 16. WinMgmt.exe 17. svchost.exe (hier zum 3. mal) 18. swdoctor.exe 19. Explorer.EXE (genau so geschrieben, ist das o.k. so?) 20. sistray.EXE (ebenfalls so geschrieben) 21. khooker.exe 14. avp.exe 23. sdhelp.exe 24. internat.exe (kann ich die löschen - brauche ich die unbedingt ?) 25. HijackThis.exe (habe eben hijackthis aufgespielt und benutzt) 26. cidaemon.exe 27. wuauclt.exe 28. sistray.exe (siehe oben unter 20., wo ".exe" noch in Großbuchstaben war, was bedeutet das ?) 29. NOTEPAD.EXE (was ist das ?? kann ich das vielleicht löschen ?) 30. iexplore.exe (siehe auch 19.=?) 31. WinRAR.exe (nehme an, daß ich dies eben aufgespielt habe für F-Secure) 32. F-Secure Blacklight.exe (glaube, eben aufgespielt, habe F-Secure laufen lassen) Soll ich was davon löschen ? DANKE ! |
so liebe hilfreiche Geister, lieber MightyMarc, die Dateigröße für WINNT\system32\regsvc.exe ist laut virustotal 68368 bytes. weder "virustotal" noch "online malware scan" haben sie als verdächtig angegeben, sondern no virus found. vielen Dank für links, vielleicht kann ich damit bei den übrigen Dateien, über die ich im Zweifel bin, etwas finden, mache ich noch. |
Ich kann mich mit dem Gmer nicht aus, aber die anfangs doch recht seltsam erscheinende Datei C:\WINNT\system32\drivers\klif.sys scheint wohl von Kaspersky zu stammen.:dummguck: Nun bin ich auch etwas ratlos, denn man hat bisher keinerlei Spur von irgendeiner Malware. Du sagtest ja auch, dass dein PC neu aufgesetzt wurde, also Reste von vorherigen Schädlingen auch nicht mehr da sein sollten. Wenn wir also nun Malware ausschließen könnten, würde m.E. nur noch diese Möglichkeit in Betracht kommen: Jmd. hört deinen Netzwerkverkehr ab, sobald was unverschlüsselt rausgeht sieht man auch Passwörter im Klartext! Ist zwar ein unwahrscheinliches Szenario, aber immerhin denkbar. Du bist nicht zufällig in einem LAN mit dem Rechner, wo andere Personen noch sind, die sich üble Scherze erlauben? Oder evtl. mit nem (unverschlüsselten) WLAN verbunden? :confused: Ne andere Möglichkeit wüsste ich echt nicht mehr auf die schnelle, sofern man nun wirklich die Malware auf deinem Rechner ausschließen könnte! |
Hallo lieber Cosinus, die entsprechende Datei vom Anfang von Gmer schaue ich nochmal bei google nach bzw. scanne sie. Ich könnte mir vorstellen, daß es sich sich um etwas selbst Programmiertes handelt, d.h. die Virenscanner nicht darauf anspringen, und entsprechend verborgen in normal aussehenden Dateien vielleicht. Daß der Rechner sauber ist, glaube ich nicht, und falls ja, sind die Inhalte meiner Arbeit am Rechner jedenfalls von außen einsehbar, Tastatureingaben auf allen möglichen (verschiedensten) webseiten z. B., auch jeder Artikel, den ich im Internet anklicke, alle emails von und zu mir. Im Nachhinein denke ich mir, daß evtl. entweder in meinen eigenen wiederaufgespielten Dateien nach mehrfachem Virenscan doch noch etwas war oder daß über meine email accounts, in denen sich ja noch emails befanden, wieder etwas reingekommen ist. Mich würde interessieren, wie das gehen könnte, daß jemand über LAN "mithört" (ich benutze LAN, aber meinen Rechner natürlich nur allein), ich habe mich schon gefragt, ob auch Telefongespräche über fritz box mitgehört werden können, weil es da einige merkwürdige Übereinstimmungen gab. (WLAN habe ich bei mir extra deaktiviert.) Hat jemand eine Ahnung, wie so etwas geht ? Und wie ich eine Chance habe zu erkennen wo sich (evtl. selbstgeschriebene) Trojaner verbergen ? :dummguck: Vielen Dank ! |
Wäre eine Verschlüsselungssoftware sinnvoll für die Zukunft ? |
Zitat:
Und wieder muss ich Shadow zitieren: Zitat:
|
Hallo Cosinus, habe inzwischen klif.sys bei virustotal und virusscan.jotti.org gescant und nichts angezeigt bekommen. Größe ist 174864 bytes in Kasperski Internet Security 6.0, verwende windows 2000 5.00.2195, SP 4. Größe wie sie sein sollte habe ich bisher noch nicht gefunden, mein Kasperski habe ich aber deaktiviert, vielleicht versucht es trotzdem sich anzumelden ?. Meine eigenen dort bei gmer aufgelisteten Dateien habe ich auch durch beide Virenscanner laufen lassen und ebenfalls nichts gefunden. Originalmedium war sauber (discs). Wenn ich der Sache nicht näher komme, mache ich es noch mal mit weiteren Vorsichtsmaßnahmen. Bin aber meinerseits "confused", da mir versichert wurde, alles sei o.k. und feststelle, daß es das eben nicht ist:confused:. Es bleibt der Wunsch, zu verstehen, woher, damit es nicht noch mal passiert. Deshalb hätte ich die Übeltäter gern erwischt. |
Wir wissen ja noch nicht mal, ob es überhaupt Malware ist, jedenfalls lässt sich nichts aufspüren! Ich weiß nicht wie deine Freunde und Bekannten gestrickt sind, aber vllt. erlaubt sich da auch jmd einen üblen Scherz mit dir, der die Passwörter ständig knackt oder errät weil sie zu einfach sind. Probiers mal mit achtstelligen Passwörtern aus Klein-/Großbuchstaben und Zahlen! |
Hallo Cosinus, danke nochmal. Passwörter habe ich schon entsprechend sicher gewählt, nützt nur nichts. Aber danke für Deine Hilfe bisher.:) |
Hallo Cosinus, habe jetzt noch mal mit spybot gescannt und der ist angeblich fündig geworden : neben EGROUP DIALER (Adware) und EACCELERATION (Adware) und cookies : folgende Trojaner angeblich gefunden (leider sind die Pfadangaben hinten abgeschnitten und ich kann sie nicht entfernen, da ich nur die kostenlose scan-Version genutzt habe und mit "Suchen" finde ich die Trojaner nicht, auch kein vollständiger Dateiname angegeben) : MAILSKINNER (Trojaner) SKINTRIM (Trojaner) BIAS (Trojaner) NUJAMA (Trojaner) BRILLIANT DIGITAL (Trojaner) Kannst Du mir nach eScan, das ich jetzt noch mal mache, Tipps geben, wie ich die Dinger erwische ? Danke ! |
Habe jetzt alle gefundenen Trojaner runtergekriegt außer den von escan angezeigten "w32formshared.aVirus" found in file system. Probiere auch das noch, hat aber bisher nicht geklappt. Wer kann mir noch gute Antispyware-Scanner zusätzlich empfehlen ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board