trojaner? passwörter geändert

#1 okay, selbst beim reggen vertippt *gggg*

anyway, ich hab nen problem. seit 2 tagen werden bei meinen mail acc (gmx, freenet und web.de) permanent die PW`s geändert. auch beim online banking wars so. habs so wie ichs festgestellt ah "sperren" lassen.

nun denke ich wir haben nen trojaner. bei sind wir null cheker, acker mit dem hijack dingens...dat hab ich noch hinbekommen. schauts doch bitte mal durch und sagt ob ihr was "böses" seht.

vielen dank.

Logfile of HijackThis v1.97.7
Scan saved at 09:28:53, on 17.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\twain_32\C6U14K\WATCH.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\rumpel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D7FDEC6-898F-4380-9385-A9B3B2E9BDC0}: NameServer = 192.168.0.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{5D7FDEC6-898F-4380-9385-A9B3B2E9BDC0}: NameServer = 192.168.0.15
O17 - HKLM\System\CS2\Services\Tcpip\..\{5D7FDEC6-898F-4380-9385-A9B3B2E9BDC0}: NameServer = 192.168.0.15

#2 Sieht eigentlich ganz in Ordnung aus?

MAch mal einen Onlinescann( RAV/Bitderender) http://www.bul-online.de/av/onlinescan.shtml
und liess dich mal hier durch: http://www.ntsvcfg.de/
__________
MfG Ralf
SEO-Spam Hunter

#3 okay, hab mich heute mal hier durchs forum gewuselt und folgende sachen gemacht..

also windoof geupt
bitdefender besucht (ohne ergebnis)
habe...spybot laufen lassen
und adaware.

spybot hat n paar angezeigt von denen ich keine ahnung habe *g* (cydoor key ... was auch immer dat sein mag)

naja. mehr kann ich momentan ne machen, oder?

#4 Wenn du alles reinigen lassen hast, musst du das jetzt mal im Auge behalten.
Wer hat noch Zugriff auf deinen Rechner und ueber das Netzwerk?
__________
MfG Ralf
SEO-Spam Hunter

#5 auf den rechner hat nur mein frend zugriff. also nen netzwerk bestehend aus 2 pc`s.

bei ihm waren allerdings auch alle passwörter geändert. (also selbes problem)

#6 Hast Du Passwörter auf dem PC gespeichert ? Wenn ja, -wie ?
In einfachen Textdateien ?
In Passwortmanagern, die ein eigenes PAsswort besitzen ?
Im Browser selbst ?

Ist euer Router sicher vor Zugriffen aus dem Internet ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 also, wir speichern unsere passwörter prinzipiell nicht, nutzen aber outlook express zum mails abrufen. allerdings war auch das passwort eines mail acc?s geändert, welches ich nicht über outl. abger. habe, sondern über die url eingeloggt.

ob unser router sicher ist....ist ne gute frage ^ ^ wie bekomm ich das raus?

#8 Das ist verzwickt, zumal auch die Passwörter der Accounts deines Freundes wohl geändert wurden. Hoffentlich geht das mal gut.
Ich könnte es mir nicht anders erklären, als dass hier ein Keylogger/trojaner im Spiel ist.
Es sei denn, Du hattest die Passwörter irgendwo auf einem Zettel rumliegen o.ä., was vermutlich nicht der Fall war.
Ist die Routerkonfiguration mittels eines Passwortes gesichert ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 ja der router ist passwort geschützt. aber PW`s liegen bei usn net mal eben aufn zette rum...selbst wenns so wäre... käme keiner an. ist eben nru verwunderlich das es alle passwörter betrifft. onlinebanking haben wir vorerst aufgegeben.

momentan funzen auch alle pw`s wie sie sollen, nix geändert oder so. aber der pc macht das ja ne von alleine, irgendnen grund musses ja geben.

#10

Zitat

momentan funzen auch alle pw`s wie sie sollen, nix geändert oder so

Wie kann ich mir das vorstellen ? Wenn die Passwörter einmal geändert wurden, wie kannst Du nun wieder darauf zugreifen ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 ich greife darauf zu indem ich ausweich emailadressen habe auf die ich dann die passwörter schicken lassen kann, oder eben die sicherheitsfragen der anbieter. dann wirds pw wieder gerichtet wies war.