Eventueller Trojanerbefall?!

#0
23.06.2007, 00:45
...neu hier

Beiträge: 5
#1 Hallo Community,

ich bin total ahnungslos, was Trojaner und Spyware angeht. Ich bin vor kurzem erst von einem Bekannten zu dieser Problematik sensibilisiert worden. Ist mein Rechner sauber? Kann ich an meinem System irgendwas verbessern?

Vielen Dank schonmal!

Logfile of HijackThis v1.99.1
Scan saved at 00:41:16, on 23.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Hier mein Hijackthis Logfile:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Download\zaSuiteSetup_70_337_000_de.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\GLBCD.tmp
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Zone Labs Client] "e:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF02BC6F-651E-4665-8B51-4A7D6851A4EF}: NameServer = 217.237.150.51 217.237.148.22
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
25.06.2007, 15:20
Member

Beiträge: 35
#2 Hallo Beni, PC scheint sauber zu sein.

Du solltest dein Windows mal updaten: www.windowsupdate.com

Ansonsten kann ich dir nur ein bisschen Lesestoff geben:

http://www.antispam.de/wiki/Virenschutz
http://www.antispam.de/wiki/Virenbefall_aus_Mails_heraus_vorbeugen
__________
Mailen Sie mir! Kaffeefahrtentermine an truelife@habmalnefrage.de - Bitte Abfahrtsort, -zeit und -datum angeben!
Seitenanfang Seitenende
25.06.2007, 22:08
Member
Avatar Chris4You

Beiträge: 694
#3 Hi,

da gibt es eine Sachen die seltsam ist:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\GLBCD.tmp

Ein Prozess mit der Endung tmp? (Safdisc?)

Mit der gleichen Endung gibt es aber auch das hier:
Threat Name: MIDADLE
This adware program arrives on a system via installation by an executable file. It creates several registry entries, including an entry that installs this adware as a Browser Helper Object. This enables the adware to run automatically every time an Internet Explorer browser is opened.

Lasse das mal online prüfen:
http://www.virustotal.com/en/indexx.html

Chris
Dieser Beitrag wurde am 25.06.2007 um 22:35 Uhr von Chris4You editiert.
Seitenanfang Seitenende
26.06.2007, 15:00
...neu hier

Themenstarter

Beiträge: 5
#4 Spybot hat mir soeben den Befall einer meiner Computer mit der Schadsoftware Ardamax mitgeteilt.

Ich vermute mal, dass der vorsätzlicherweise auf meinem Rechner installiert wurde. Was kann ich nun tun um Beweise zu sichern, wenn ich mit den vorhandenen Spuren eventuell zur Polizei gehen und Anzeige erstatten will?

Kann ich irgendwie rausbekommen auf welchem Port das Prog wohin / an welche Emailadresse, bzw. Webserver sendet?

Danke!!!
Seitenanfang Seitenende
26.06.2007, 15:06
Member

Beiträge: 35
#5

Zitat

Ardamax ist eine kommerzielle Keylogger-Anwendung für das Windows-Betriebssystem, das unter www.ardamax.com zur Verfügung steht.

Ardamax läuft heimlich im Hintergrund und speichert Tastenfolgen in einer verschlüsselten Protokolldatei.

Ardamax enthält Funktionalität zum:

- Tarnen ihrer Prozesse - automatischen Senden von Protokolldateien an eine remote Adresse per E-Mail oder über FTP - Überwachen von CHAT-Konversationen auf: ICQ Pro, ICQ Lite, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda und QiP - automatischen und heimlichen Herunterladen, Installieren und Starten von Updates des Keylogger-Programms - Erfassen von Kennwörtern und unsichtbarem Text
Quelle: http://www.sophos.de/security/analyses/ardamax.html

--> Lässt darauf schließen, das der installiert wurde, um dich auszuspähen.
__________
Mailen Sie mir! Kaffeefahrtentermine an truelife@habmalnefrage.de - Bitte Abfahrtsort, -zeit und -datum angeben!
Seitenanfang Seitenende
26.06.2007, 15:11
...neu hier

Themenstarter

Beiträge: 5
#6 Ja, das dachte ich mir. Aber was kann ich nun rechtlich dagegen unternehmen?

Und, kann ich mit dem Ardamax-Server auf meinem Rechner irgendwie in Kontakt treten? Ich würde nämlich gerne wissen wohin er seine Logfiles sendet, bzw. mit welchem Host er Informationen austauscht.

Danke nochmal!
Dieser Beitrag wurde am 26.06.2007 um 15:25 Uhr von Beni87 editiert.
Seitenanfang Seitenende
26.06.2007, 20:46
Member

Beiträge: 35
#7 Ich werde mich da mal erkundigen - es gibt da so ein paar Freaks...

Rechtliche Fragen dürfen in Deutschland nicht über Foren ausdiskutiert werden, da eine rechtlichen Beratung nur Verbraucherzentralen und Anwälten vorbehalten ist. Hast du eine Rechtschutzversicherung?
__________
Mailen Sie mir! Kaffeefahrtentermine an truelife@habmalnefrage.de - Bitte Abfahrtsort, -zeit und -datum angeben!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: