#1 26. Februar 2009 Guten Morgen, ich bin mir ziemlich sicher, dass ich mir einen Trojaner gefangen habe. Seit heute morgen komm ich nicht mehr in mein Mail-Postfach. Anti-Virus (NOD32 auf dem neusten Stand) findet nichts. UnHackMe findet auch nichts. Hijack-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:36:38, on 26.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Razer\razerhid.exe C:\Programme\Eset\nod32kui.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Print Server Utilities\ServoApp.exe C:\Programme\Print Server Utilities\MFPAgent.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\UnHackMe\hackmon.exe C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Razer\razertra.exe C:\Programme\Razer\razerofa.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Eset\nod32.exe C:\Programme\Eset\nod32.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\UnHackMe\hackmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [ServoApp] C:\Programme\Print Server Utilities\ServoApp.exe O4 - HKLM\..\Run: [MFP Server Agent] "C:\Programme\Print Server Utilities\MFPAgent.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210859901640 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe -- End of file - 7538 bytes Kennt sich jemand damit aus, und kann mir helfen? BW ist natürlich selbstverständlich. mfg Trush + Multi-Zitat Zitieren
#2 26. Februar 2009 AW: Hijack Logfile-Auswertung HijackThis Logfileauswertung Das kopierste deine Logfile rein, dann siehste die Auswertung: O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe <- schädlich, hast also was drauf + Multi-Zitat Zitieren
#3 26. Februar 2009 AW: Hijack Logfile-Auswertung O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe Aircrack im Temp Ordner ? Fixxen wenn nicht gewollt, sonst hab ich nichts besonderes gefunden. + Multi-Zitat Zitieren
#4 26. Februar 2009 AW: Hijack Logfile-Auswertung Okay, hab das mal gelöscht. Trojaner oder Virus findet keine meiner Programme. Gibt's noch ne andere Möglichkeit, wie derjenige an mein Mail-Postfach gekommen sein könnte? Das Passwort war eigentlich kompliziert genug um Brute-Force-Angriffen standzuhalten. Weitergegeben hab ich es nicht. Um das Postfach ist es zwar schade, aber das war nicht wichtig. Ich mache mir eher Sorgen um mein Online-Banking bzw PayPal-Accounts. + Multi-Zitat Zitieren
#5 26. Februar 2009 AW: Hijack Logfile-Auswertung wenn du dir sorgen machst dann änder die daten so schnell es geht! du kannst ein PW so sicher machen wie du möchtest sobald du aber was eingefangen hast wo die daten dann zu ihm gesendet wird, hast in dem Fall erst mal Pech. Also schnell ändern was noch möglich ist. und das nächste mal besser aufpassen. und nur auf sichere seiten was laden. und wenn du was geschickt bekommst "exe." dann überprüf das hier erst VirusTotal - Free Online Virus, Malware and URL Scanner Lg Poli x + Multi-Zitat Zitieren
#6 26. Februar 2009 AW: Hijack Logfile: wzcook.exe Wenn du wirklich 100% sichergehen möchtest, dann formatier dein PC und änder danach das Passwort deiner Daten. + Multi-Zitat Zitieren
#7 26. Februar 2009 AW: Hijack Logfile: wzcook.exe Hallo? Das ist eine Datei aus der aircrack-ng Suite und KEIN Trojaner - Keylogger whatever. Ändere mal den WPA-Password vom Router und mehr dürfte nicht passiert sein, da wzcook.exe nur die Wireless-Passphrasen deines PCs entschlüsselt und anzeigt.... MFG TuXiFiED + Multi-Zitat Zitieren
#8 26. Februar 2009 AW: Hijack Logfile: wzcook.exe Soll ich dir mal ne "explorer.exe" schicken ?! Ist doch nur der Explorer.... Natürlich kann es einfach aircrack sein, aber im Temp ordner ? Wenn er weiss was es ist, dann isses natürlich unschädlich, ansonsten kann da schon was drin sein. + Multi-Zitat Zitieren
#9 26. Februar 2009 AW: Hijack Logfile: wzcook.exe Er solls mal auf VirusTotal - Free Online Virus, Malware and URL Scanner gegenchecken, aber auf den ersten Blick sieht es echt wie eben genanntes Tool aus. Normalerweise versteckt sich Malware auch nicht unbedingt im Temp-Ordner, sondern irgendwo in System32 oder im Windowsordner... mfg TuXiFiED + Multi-Zitat Zitieren