Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Infiziert mit Trojaner oder Backdoor - wie finden wie löschen?

Frage Sicherheit Viren und Trojaner

Mitglied: Hody72

Hody72 (Level 1) - Jetzt verbinden

14.01.2009, aktualisiert 31.03.2009, 5050 Aufrufe, 6 Kommentare

Hallo,

ich wollte mir gestern auf einer Chat Seite eine Videokonferenz machen und dann ist mir Opera abgestürzt, das passiert ab und an und scheint an Silverlight zu liegen. Das kuriose war, daß Opera dann direkt beim Neustart abgestürzt ist. Ich habe dann versucht die gesamten Daten inkluse Verlauf zu löschen und Opera hat angefangen Sachen in die Adresszeile zu tippen, u.a. die einer IT Firma in den arabischen Emiraten oder meinen Nachnamen in das Google-Suchfeld. Für mich sah das sehr nach Remotezugriff aus, wie ich ihn aus meiner Arbeit als IT Admin kenne. Ich habe darauf hin sofort die Internetverbindung gekappt und HiJackThis benutzt. Ohne Ergebnis.

Eigentlich läuft mein System über einen Router und die Windows-Firewall ist an, ich habe auch Avira AntivirPremium am Laufen, die einzige Schwachstelle am System mag meine Internetkamera sein, die über ein ActiveX-Applet läuft und deren URL via DynDNS upgedated wird sowie LogMeIn-Free - dessen Logfiles zeigen aber keinen Remotezugriff.

Zitat:Computer Description Subscription Type Start Date Renewal Date Status Last online Last Remote Session Last known IP address Install date Software version
FRANKENSTEIN2 LogMeIn Free Sep 18 2008 Mar 15 2020 Active Jan 13 2009 23:37 Dec 23 2008 14:15 89.125.167.93 Sep 29 2008 784

Kennt jemand dieses Verhalten oder ist bekannt daß Opera manchmal so verrückt spielt und wenn ja, wie käme dann mein Familenname ins Google-Suchfeld?! Eigentlich unmöglich!

Wollte gestern abend noch vor dem Schlafengehen eine Runde Fallout 3 spielen. Mein Char steht auf einer Brücke, Gewehr auf dem Rücken. Ich habe diesen Spielstand geladen und den Char dann stehen gelassen um auf der Karte offline nachzusehen wohin ich muss. Plötzlich nimmt der das Gewehr vom Rücken und fängt an zu schiessen. Einfach wahrlos geradeaus geschossen.

Ich dachte es liegt vielleicht was auf der Tastatur, bin raus aus Fallout, mein Keyboard gecheckt, ein Gamepad ausgesteckt - die spinnen ja manchmal. Und wieder rein in Fallout, gleiches Spiel.

Dann habe ich Notepad 2 geöffnet und gewartet, nach ein paar Sekunden erschien in der ersten Zeile "excel" und in der zweiten Zeile "igiweb" - so als ob jemand tippen würde. Es gibt einen irischen Provider der Digiweb heisst - bei dem bin ich aber nicht.

Daraufhin habe ich (wieder) die Internetverbindung gekappt. Ich denke also ich habe einen Trojaner...Mist

Ich habe mich nun in den Router eingeloggt (ihn vorher vom Modem getrennt) und dort die Firewall angeschaltet, war leider aus und das Port Forwarding und Port Triggering ausgemacht. Die Internetkamera habe ich total abgeschaltet, über sie lief DynDNS und ein ActiveX Applet sowie das Port Forwarding.

Ausserdem habe ich Avira Pro und Kaspersky IS 2009 (beta) nach den Anleitungen im Board konfiguriert und laufen lassen, die haben bei rund 45% gescannt schon einiges gefunden, z.B. eine alte (inaktive) VNC Version. Davon lief wohl allerdings der Server, so daß ich darauf tippen würde. Ich habe alles was von VNC war nun deinstalliert und die Verzeichnisse gelöscht. Wie kommt jemand aber direkt eine Minute nach dem Systemstart in mein System. Das muss doch ein Bot sein oder sitzten die Hacker vor dem PC und warten bis jemand online geht?!

Das Log von HiJack this (anbei) sieht soweit ok aus.
Zitat:Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 22:25:56, on 13.01.2009 
Platform: Windows Vista SP1 (WinNT 6.00.1905) 
MSIE: Internet Explorer v7.00 (7.00.6001.18000) 
Boot mode: Normal 
 
Running processes: 
C:\Windows\system32\taskeng.exe 
C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\Program Files\Windows Defender\MSASCui.exe 
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe 
C:\Windows\System32\rundll32.exe 
C:\Windows\RtHDVCpl.exe 
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe 
C:\Program Files\Microsoft IntelliType Pro\itype.exe 
C:\Program Files\Microsoft IntelliPoint\ipoint.exe 
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe 
C:\Windows\System32\rundll32.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Program Files\Eazy-Ware\ezSched.exe 
C:\Windows\system32\wbem\unsecapp.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Windows\system32\wuauclt.exe 
C:\Program Files\Notepad++\notepad++.exe 
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kicker.de/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O1 - Hosts: ::1 localhost 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll 
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll 
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll 
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide 
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe 
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe 
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd 
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe 
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun 
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" 
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" 
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit 
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun 
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\Windows Sidebar\DUMeter.exe 
O4 - HKCU\..\Run: [EazyScheduler] C:\Program Files\Eazy-Ware\ezSched.exe 
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') 
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') 
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm 
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm 
O9 - Extra button: (no name) - AutorunsDisabled - (no file) 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll 
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL 
O13 - Gopher Prefix:  
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab 
O16 - DPF: {254AA86E-5655-4518-AA87-185D7CC41801} (LogMeIn Rescue Technician Console) - h**ps://secure.logmeinrescue.com/TechConsole/x86/RescueControl.cab 
O16 - DPF: {299385F1-1977-426F-8CE3-07A2407E4498} (IPCamPluginDPT Control) - h**p://192.168.0.17/IPCamPluginMJPEG.cab 
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - h**p://www.facebook.com/controls/contactx.dll 
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100 
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA881F2-7477-46D3-84B3-5DB96DE229B4}: NameServer = 192.168.0.1 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Users\Hody\AppData\Local\Microsoft\Windows Sidebar\Gadgets\SkypeGadget1.2.gadget\wrapper\Skyp e4COM.dll 
O20 - Winlogon Notify: DPWLN - C:\Windows\system32\DPWLEvHd.dll 
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll 
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe 
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe 
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe 
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE 
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe 
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe 
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe 
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe 
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe 
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe 
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe 
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\Ralink\Common\RalinkRegistryWriter.exe 
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe 
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe 
 
-- 
End of file - 8339 bytes 
Die Hardwarefirewall vom Router sollte nun schon etwas Ruhe bringen und alle offenen Ports sind dort geschlossen. Ich habe keine Ahnung was ich noch tun kann um diesen Trojaner zu finden`?! Hiren Boot CD? Avert-Stinger? Windows Tool für bösartige Software?! Wie kann ich ausser einer Neuinstallation sicher stellen kann, daß das System ok ist. Bitte gebt mir Tipps wie ich dem Übel Herr werden kann.
Mitglied: elknipso
14.01.2009 um 16:53 Uhr
Nichts für Ungut aber so ein Posting liest sich doch kein Mensch komplett durch.
Kürze Deinen Beitrag und Deine Frage mal bitte auf das Wesentliche, dann wird Dir auch schneller geholfen.
Bitte warten ..
Mitglied: Gagarin
14.01.2009 um 17:24 Uhr
Wer sagt denn das es ueberhaupt ein Trojanisches Pfeder war?

Wenn du schon sagst das VNC Server lief dann gehe ich doch eher aus das jemand darueber den Rechner Remote bedient hat.

Wenn du Ruhe haben moechtest dann setz Ihn komplett neu auf. Services die nicht gebraucht werden gehoeren grundsaetzlich deinstalliert.
Bitte warten ..
Mitglied: Hody72
14.01.2009 um 17:31 Uhr
Zitat von Gagarin:
Wer sagt denn das es ueberhaupt ein Trojanisches Pfeder war?

Wenn du schon sagst das VNC Server lief dann gehe ich doch eher aus
das jemand darueber den Rechner Remote bedient hat.

Wenn du Ruhe haben moechtest dann setz Ihn komplett neu auf. Services
die nicht gebraucht werden gehoeren grundsaetzlich deinstalliert.

Danke ja Du hast Recht. Ich möchte nach Möglichkeit vermeiden den PC neu aufzusetzen, wobei das natürlich die sicherste Variante wäre. Hinterlässt die Benutzung von VNC keine Spuren und wie merkden die direkt eine Minute nach dem Einschalten der Kiste, das ich online bin?
Bitte warten ..
Mitglied: Gagarin
14.01.2009 um 18:15 Uhr
Klar hinerlässt VNC spuren... was sagen die FW Logs?
Bitte warten ..
Mitglied: Hody72
14.01.2009 um 18:19 Uhr
Der Router zeigt keine Logs mehr - hatte ihn abgeschaltet über Nacht. Das VNC Verzeichnis habe ich komplett gelöscht, dort waren dann ja wohl auch die Logfiles....
Bitte warten ..
Mitglied: Hody72
20.01.2009 um 16:22 Uhr
Ich habe nun mehrfach diverse Tools und Virenscanner über die Machine gejagt - inklusive Rootkit Scans. Keines der Programme ist fündig geworden, es gab einige alte Ziparchive in denen sich Trojaner verborgen auf anderen als der Bootpartition, diese Archive habe ich aber alle gelöscht.

Ich bin nun der Meinung, daß mein Problem durch VNC verursacht wurde und habe den kompletten Dienst abgeschaltet und danach alle Spuren von VNC gelöscht. Seit dem (ca. 1 Woche) ist auch nichts mehr passiert bzw. aufgefallen - ich bin soweit also zufrieden. Der einzige Zweifel ist, ob ich das System nicht besser neu aufsetzen sollte um ganz sicher zu gehen, aber das muss ich wohl mit mir ausmachen...oder?
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Batch & Shell
gelöst Batch um Regestry Einträge zu finden und zu löschen (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Exchange Server
gelöst SBS2011 - im Exchange mobile Geräte löschen (4)

Frage von MiSt zum Thema Exchange Server ...

Exchange Server
Inhalt von Postfächern in Exchange löschen (9)

Frage von m.reeger zum Thema Exchange Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...