Infiziert mit Trojaner oder Backdoor - wie finden wie löschen?
Hallo,
ich wollte mir gestern auf einer Chat Seite eine Videokonferenz machen und dann ist mir Opera abgestürzt, das passiert ab und an und scheint an Silverlight zu liegen. Das kuriose war, daß Opera dann direkt beim Neustart abgestürzt ist. Ich habe dann versucht die gesamten Daten inkluse Verlauf zu löschen und Opera hat angefangen Sachen in die Adresszeile zu tippen, u.a. die einer IT Firma in den arabischen Emiraten oder meinen Nachnamen in das Google-Suchfeld. Für mich sah das sehr nach Remotezugriff aus, wie ich ihn aus meiner Arbeit als IT Admin kenne. Ich habe darauf hin sofort die Internetverbindung gekappt und HiJackThis benutzt. Ohne Ergebnis.
Eigentlich läuft mein System über einen Router und die Windows-Firewall ist an, ich habe auch Avira AntivirPremium am Laufen, die einzige Schwachstelle am System mag meine Internetkamera sein, die über ein ActiveX-Applet läuft und deren URL via DynDNS upgedated wird sowie LogMeIn-Free - dessen Logfiles zeigen aber keinen Remotezugriff.
Zitat:Computer Description Subscription Type Start Date Renewal Date Status Last online Last Remote Session Last known IP address Install date Software version
FRANKENSTEIN2 LogMeIn Free Sep 18 2008 Mar 15 2020 Active Jan 13 2009 23:37 Dec 23 2008 14:15 89.125.167.93 Sep 29 2008 784
Kennt jemand dieses Verhalten oder ist bekannt daß Opera manchmal so verrückt spielt und wenn ja, wie käme dann mein Familenname ins Google-Suchfeld?! Eigentlich unmöglich!
Wollte gestern abend noch vor dem Schlafengehen eine Runde Fallout 3 spielen. Mein Char steht auf einer Brücke, Gewehr auf dem Rücken. Ich habe diesen Spielstand geladen und den Char dann stehen gelassen um auf der Karte offline nachzusehen wohin ich muss. Plötzlich nimmt der das Gewehr vom Rücken und fängt an zu schiessen. Einfach wahrlos geradeaus geschossen.
Ich dachte es liegt vielleicht was auf der Tastatur, bin raus aus Fallout, mein Keyboard gecheckt, ein Gamepad ausgesteckt - die spinnen ja manchmal. Und wieder rein in Fallout, gleiches Spiel.
Dann habe ich Notepad 2 geöffnet und gewartet, nach ein paar Sekunden erschien in der ersten Zeile "excel" und in der zweiten Zeile "igiweb" - so als ob jemand tippen würde. Es gibt einen irischen Provider der Digiweb heisst - bei dem bin ich aber nicht.
Daraufhin habe ich (wieder) die Internetverbindung gekappt. Ich denke also ich habe einen Trojaner...Mist
Ich habe mich nun in den Router eingeloggt (ihn vorher vom Modem getrennt) und dort die Firewall angeschaltet, war leider aus und das Port Forwarding und Port Triggering ausgemacht. Die Internetkamera habe ich total abgeschaltet, über sie lief DynDNS und ein ActiveX Applet sowie das Port Forwarding.
Ausserdem habe ich Avira Pro und Kaspersky IS 2009 (beta) nach den Anleitungen im Board konfiguriert und laufen lassen, die haben bei rund 45% gescannt schon einiges gefunden, z.B. eine alte (inaktive) VNC Version. Davon lief wohl allerdings der Server, so daß ich darauf tippen würde. Ich habe alles was von VNC war nun deinstalliert und die Verzeichnisse gelöscht. Wie kommt jemand aber direkt eine Minute nach dem Systemstart in mein System. Das muss doch ein Bot sein oder sitzten die Hacker vor dem PC und warten bis jemand online geht?!
Das Log von HiJack this (anbei) sieht soweit ok aus.
Die Hardwarefirewall vom Router sollte nun schon etwas Ruhe bringen und alle offenen Ports sind dort geschlossen. Ich habe keine Ahnung was ich noch tun kann um diesen Trojaner zu finden`?! Hiren Boot CD? Avert-Stinger? Windows Tool für bösartige Software?! Wie kann ich ausser einer Neuinstallation sicher stellen kann, daß das System ok ist. Bitte gebt mir Tipps wie ich dem Übel Herr werden kann.
ich wollte mir gestern auf einer Chat Seite eine Videokonferenz machen und dann ist mir Opera abgestürzt, das passiert ab und an und scheint an Silverlight zu liegen. Das kuriose war, daß Opera dann direkt beim Neustart abgestürzt ist. Ich habe dann versucht die gesamten Daten inkluse Verlauf zu löschen und Opera hat angefangen Sachen in die Adresszeile zu tippen, u.a. die einer IT Firma in den arabischen Emiraten oder meinen Nachnamen in das Google-Suchfeld. Für mich sah das sehr nach Remotezugriff aus, wie ich ihn aus meiner Arbeit als IT Admin kenne. Ich habe darauf hin sofort die Internetverbindung gekappt und HiJackThis benutzt. Ohne Ergebnis.
Eigentlich läuft mein System über einen Router und die Windows-Firewall ist an, ich habe auch Avira AntivirPremium am Laufen, die einzige Schwachstelle am System mag meine Internetkamera sein, die über ein ActiveX-Applet läuft und deren URL via DynDNS upgedated wird sowie LogMeIn-Free - dessen Logfiles zeigen aber keinen Remotezugriff.
Zitat:Computer Description Subscription Type Start Date Renewal Date Status Last online Last Remote Session Last known IP address Install date Software version
FRANKENSTEIN2 LogMeIn Free Sep 18 2008 Mar 15 2020 Active Jan 13 2009 23:37 Dec 23 2008 14:15 89.125.167.93 Sep 29 2008 784
Kennt jemand dieses Verhalten oder ist bekannt daß Opera manchmal so verrückt spielt und wenn ja, wie käme dann mein Familenname ins Google-Suchfeld?! Eigentlich unmöglich!
Wollte gestern abend noch vor dem Schlafengehen eine Runde Fallout 3 spielen. Mein Char steht auf einer Brücke, Gewehr auf dem Rücken. Ich habe diesen Spielstand geladen und den Char dann stehen gelassen um auf der Karte offline nachzusehen wohin ich muss. Plötzlich nimmt der das Gewehr vom Rücken und fängt an zu schiessen. Einfach wahrlos geradeaus geschossen.
Ich dachte es liegt vielleicht was auf der Tastatur, bin raus aus Fallout, mein Keyboard gecheckt, ein Gamepad ausgesteckt - die spinnen ja manchmal. Und wieder rein in Fallout, gleiches Spiel.
Dann habe ich Notepad 2 geöffnet und gewartet, nach ein paar Sekunden erschien in der ersten Zeile "excel" und in der zweiten Zeile "igiweb" - so als ob jemand tippen würde. Es gibt einen irischen Provider der Digiweb heisst - bei dem bin ich aber nicht.
Daraufhin habe ich (wieder) die Internetverbindung gekappt. Ich denke also ich habe einen Trojaner...Mist
Ich habe mich nun in den Router eingeloggt (ihn vorher vom Modem getrennt) und dort die Firewall angeschaltet, war leider aus und das Port Forwarding und Port Triggering ausgemacht. Die Internetkamera habe ich total abgeschaltet, über sie lief DynDNS und ein ActiveX Applet sowie das Port Forwarding.
Ausserdem habe ich Avira Pro und Kaspersky IS 2009 (beta) nach den Anleitungen im Board konfiguriert und laufen lassen, die haben bei rund 45% gescannt schon einiges gefunden, z.B. eine alte (inaktive) VNC Version. Davon lief wohl allerdings der Server, so daß ich darauf tippen würde. Ich habe alles was von VNC war nun deinstalliert und die Verzeichnisse gelöscht. Wie kommt jemand aber direkt eine Minute nach dem Systemstart in mein System. Das muss doch ein Bot sein oder sitzten die Hacker vor dem PC und warten bis jemand online geht?!
Das Log von HiJack this (anbei) sieht soweit ok aus.
Zitat:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:56, on 13.01.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eazy-Ware\ezSched.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\Windows Sidebar\DUMeter.exe
O4 - HKCU\..\Run: [EazyScheduler] C:\Program Files\Eazy-Ware\ezSched.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - h**ps://secure.logmeinrescue.com/TechConsole/x86/RescueControl.cab
O16 - DPF: {299385F1-1977-426F-8CE3-07A2407E4498} (IPCamPluginDPT Control) - h**p://192.168.0.17/IPCamPluginMJPEG.cab
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - h**p://www.facebook.com/controls/contactx.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA881F2-7477-46D3-84B3-5DB96DE229B4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Users\Hody\AppData\Local\Microsoft\Windows Sidebar\Gadgets\SkypeGadget1.2.gadget\wrapper\Skyp e4COM.dll
O20 - Winlogon Notify: DPWLN - C:\Windows\system32\DPWLEvHd.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8339 bytes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106054
Url: https://administrator.de/contentid/106054
Ausgedruckt am: 23.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Wer sagt denn das es ueberhaupt ein Trojanisches Pfeder war?
Wenn du schon sagst das VNC Server lief dann gehe ich doch eher aus das jemand darueber den Rechner Remote bedient hat.
Wenn du Ruhe haben moechtest dann setz Ihn komplett neu auf. Services die nicht gebraucht werden gehoeren grundsaetzlich deinstalliert.
Wenn du schon sagst das VNC Server lief dann gehe ich doch eher aus das jemand darueber den Rechner Remote bedient hat.
Wenn du Ruhe haben moechtest dann setz Ihn komplett neu auf. Services die nicht gebraucht werden gehoeren grundsaetzlich deinstalliert.