trojaner in 1und1 rechnung? Einstellungen

[Gast_Hänschen_*]

Ja, genau, ich laufe im eingeschränkten Benutzermodus, und das war die Frage, ob ich damit jetzt Schwein gehabt habe und weiter machen kann wie bisher... Bzw. vor einer eventuellen abschließenden Installation des Schädlings beim nächsten Start noch irgendetwas dagegen tun kann.

Tut mir echt leid, dass ich hier so ahnungslos frage...

Vielleicht hat mir der _eingeschränkte_ Benutzermodus doch ein Paar Stunden Arbeit gerettet.

Vielen, vielen Dank für die Antworten , war schon arg verzweifelt
Grüße
Hänschen

p.S.: Bin ab kurz nach sieben weg und dann erst wieder gegen zehn da - nur damit ihr nicht denkt ich hätte mich mit meinem Compi vielleicht doch noch aus dem Fenster...

[Yopie]

Ich würde mal sagen, du hast Schwein gehabt. Bzw. dein Sicherheitskonzept hat gegriffen.

[Gast_Hänschen_*]

Puh, da wäre ich aber echt froh,
dann kann ich ja nachher den Computer einfach mal neu starten und das System dann noch einmal durch checken...
Grüße
Hänschen (und nochmals danke an Euch beide)

[Chaos64]

@Chaos64
Meinste mich ? Ich darf das Zeug anklicken, ich habn Darfschein .

Klares NEIN, aber den Threadersteller und alle anderen 1&1- Benutzer denen vielleicht auch noch so'ne Mail in's Fach flattert.
Ist mir klar das Du in ner VM alles anklicken und öffnen und was auch immer machen kannst

[Gast_Dylan_*]

Ich würde mal sagen, du hast Schwein gehabt. Bzw. dein Sicherheitskonzept hat gegriffen.

Auch ein eingeschränktes Benutzerkonto kann nich 100% der Malware abweisen,es gibt auch schon Rootkits die mit eingeschränkten Rechten lauffähig sind.
Zu meinem Sicherheitskonzept gehört jetzt nich unbedingt ein eingeschränktes Benutzerkonto,ich (persönlich) verwende hier NIS2007,Brain und ein gutes Imageprogramm.
Dennoch hat hier der wichtigtste Teil eines Konzeptes versagt ....

EDIT:
Brain und nicht Brian war gemeint.

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 20:19

[citro]

Ich habe die Mail gerade bekommen und vorher schon gewußt um was es sich da handelt.
WEB.de schlägt bei infizierten Anhängen mit seinem Virenscanner (McAffee ?) normalerweise Alarm -- diesmal nicht, obwohl die Mail über 17 Std. alt ist.

Habe sie mit meinem Mailprogramm geladen und ein Screenshot einfach mal zur Ansicht gemacht:




citro

edit: dann steht direkt in der Mail, dass es sich um einen Anhang im .pdf-exe Format handelt

Der Beitrag wurde von citro bearbeitet: 07.01.2007, 20:06

[Yopie]

Zu meinem Sicherheitskonzept gehört jetzt nich unbedingt ein eingeschränktes Benutzerkonto,ich (persönlich) verwende hier NIS2007,Brian und ein gutes Imageprogramm.
Dennoch hat hier der wichtigtste Teil eines Konzeptes versagt ....

Der Virenscanner?

Oder Brian? Prian? Jehova?

[Rios]

Hallo Citro,

Mc Afee hatte mir bei Web.de auch schon mal einen übersehen, dies erledigte aber dann Väterchen Frost. Der Vorgänger bei Web.de F-Secure, hatte seinen Job sehr gut gemacht.

[Gast_Dylan_*]

Oder Brian?

...schon gut,schon gut,Verschreiber.

Aber mit dem Wort Brian auch als Brain bekannt ( ) liegst du schon richtig.

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 20:21

[Frakster]

@ Sasser:
Web.de hat die mail bei mir in den Ordner "Unbekannt" verschoben, deswegen war ich wahrscheinlich auch etwas blauäugiger als sonst... im spam-ordner schau ich eh nie nach, der wird sofort gelöscht.

achja und der anhang wurde vom web.de-eigenen virenscanner (steht ja immer daneben ob die datei geprüft ist und was rauskam) nicht als virus erkannt...

Der Beitrag wurde von Frakster bearbeitet: 07.01.2007, 20:55

[Gast_Jens1962_*]

Ach ja, das ist ja diese grenzdebile Standardeinstellung bei Windows

Debile Windows-User
Trotz dieser Systemeinstellung zeigt Outlook die doppelte Dateiendung an, in der Standardeinstellung wird der Zugriff auf ausführbare Dateien geblockt. Andere Mailclienten beherrschen die Anzeige von doppelten Dateiendungen ebenfalls.
Wenn es die Datei dann doch geschafft hat, diese Hürden zu überwinden und im Explorer sichtbar zu werden: Wieso soll ein User davor zurückschrecken, diese Datei zu öffnen Er hat die pdf-Dateiendung ignoriert, die da gar nicht stehen dürfte, wieso sollte er nicht auf die exe drücken?

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 07.01.2007, 22:38

[Gast_Hänschen_*]

Hallo, guten Morgen allerseits,

nach Neustart im Benutzer und im Administratorenmodus ist mein System wohl immer noch sauber (an dem HiJackThisLog hat sich nichts verändert). Da habe ich ja noch einmal Glück gehabt -

nochmals danke für Eure Beratung (Bond7, Yopie) - die hat mir diese Woche viel Zeit gespart
viele Grüße
Hänschen

[citro]

Pc-Welt meldet, es wäre ein Rootkit vom Goldun-/Haxdoor-Typ mit dabei.

KLICK

citro

[Voyager]

Ist es auch , der Rootkit ist allerdings nicht gänzlich unsichtbar
eetvpn.dll
eetvpn.sys
eexvpn.sys
Die eetvpn.sys ist nicht unsichtbar aber gesperrt und die eetvpn.dll wird übern Winlogon geladen und ist im Hijackthis auch noch sichtbar

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 18:06

[Sturmfalke]

hi, bin neu hier und bedanke mich für die nachsicht bei meinen blöden fragen.
ich hatte die mail und habe sie unter änderung der dateiendung gespeichert - als .pdf
Dann die .pdf geöffnet und nichts gefunden, dann alles gelöscht.
bin ich nun infiziert????
anbei - das habe ich mir hier angeschaut - ein sogenannter hijack-log...
kann jemand von euch was sehen?????
danke für eure hilfe!!!!!
_______________________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 21:30:47, on 08.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
C:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Apoint2K\Apntex.exe
C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\aspecta\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Startup: RC.exe.lnk = C:\Programme\DTV\DVB-T USB 2.0\RC.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: DeskView Agent - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DNAgent\DNAgent.Exe
O23 - Service: DeskView AnP Manager (DVAnPMan) - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DVAnPMan\DVAnPMan.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: DeskView MT Alerting Service (MTAlerting) - Fujitsu Siemens Computers - C:\PROGRA~1\DeskView\DVCC\MTALER~1.EXE
O23 - Service: Notebook Encrytion Service (NACSERVICE) - Mobile Security GmbH - C:\WINDOWS\NAC\nacservice.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

[Voyager]

Ist nichts bösaertiges zu erkennen im Log allerdings solltest du mal diese Dinge auf Echtheit prüfen
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll

ich bin mir nicht sicher aber ich glaube das gehört zu Symantec Client Security.

p.s.
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\RegSrvc.exe
Das sieht auch noch verdächtig aus, bitte prüfen um was es sich dabei handelt z.b. über die Dateieigenschaften -> Hersteller.

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 22:02

[citro]

Könnte das alles zu Intel gehören ?

Bis auf NavLogon.dll. --> Anmeldedienst-Dynamic Link Library von Norton (Symantec)

citro

[Sturmfalke]

danke für deine hilfe, abgesehen von dem was ich prüfen soll - trojaner zunächst auszu-
schließen??
wo und wie kann ich vorgehen, um die von dir genannten daten zu prüfen?

[Voyager]

@Citro
Das ist nicht von Norton , er hat SCS drauf.

@Sturmfalke
Du gehst mit deinem Dateiexplorer ins System32 Verzeichnis und machst ein Rechtsklick auf die Dateien , unter Version sollte ein Hersteller stehen z.b. Microsoft oder Intel ect... Wenn es nichts gibt lade die 3 Dateien einzeln bei http://virusscan.jotti.org/de/ hoch.

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 22:17

[Sturmfalke]

hab ich gemacht, scan ist OK, hersteller gibt es auch...
kann ich schon von entwarnung ausgehen???