Spyware oder Trojaner auf meiner Kiste

[Pyrokar]

Ich habe ein dringendes Problem:
Es gibt Indizien dafür, dass heute ca. um 17:15 Uhr ein Denial of Service Angriff auf einen Microsoft-Server gestartet wurde. Woher ich das weiß: Ganz einfach, mein Rechner wollte um diese Zeit ca. 180 Verbindungen zu einem MS-Server per Firefox aufbauen. Ich habe eine Firewall und einen Virenschutz, jeweils von Norton, beide in den Versionen von 2004. Trotzdem hab ich einen Trojaner oder ein Spywareprogramm auf meinem Rechner. Die Frage ist, woher. Ich hab einen Scan meiner Festplatten gemacht, gefunden wurde lediglich etwas zur ADWare BargainBuddy. Nu will ich von euch wissen, ob diese Adware in der Lage ist, PCs fernzusteuern. Wenn ja, wär ich sehr froh, denn ich habe betreffende Dateien ohne Probleme löschen können. Wenn ihr mir diese Frage beantworten könnt, wär mir schon ne Menge geholfen.

[Raiden]

Wenn es ein Trojaner ist, ist er in der Tat die Fernsteuerung eines dritten zuzulassen. Solltest du allerdings wirklich auf den neusten Stande sein mit Northen usw. und sollte Northen und co. komischerweise das Problem nicht erkannt haben, wird er spätestens den Eindringling beim Versuch zu hacken abwehren. Ansonsten schon komisch, sicher das es nen Trojanisches Pferd ist?

Es gab abe rmal son Proggy, damit kann man Spyware klöschen der findet wirklich alles! Ich suchs dir am Wochenende mal :-) Habs irgendwo auf CD.

[Pyrokar]

Ich sag ja nur, dass es sein kann, dass es ein Trojaner ist, es kann auch Spyware sein. Aber ich habe mit einem kompletten Systemcheck nichts gefunden und alles ist auf dem neuesten Stand. Ich hab auch Spybot S&D.

[NeM]

Jeder Virenscanner (zumindest jeder den ich bisher hatte) hatte Optionen, die man sich zuerst vornehmen sollte. Die Voreinstellungen sind nämlich meist darauf ausgelegt, einen Kompromiss zwischen Scanzeit und Effizienz zu finden.

Kaspersky Anti Virus Personal Pro 5.0 ist für Heimanwender 30 Tage kostenlos: http://www.kaspersky.com/de/downloads?chapter=154336054

Ad-Aware kannst du auch probieren, die Personal Version ist kostenlos: www.lavalsoft.com

Bei beiden Programmen gibts eine Update Funktion, die das Prog auf dem neuesten Stand hält

[Winyett Grayanus]

Nun, Bargain Buddy ist eigentlich eher dazu ausgelegt, die Privatsphäre von jemandem auszuspionieren, oder einen mit Werbung zu nerven. Und ja: es ist eine Art Trojaner, aber ob wirklich jemand versuchen wollte, mit deinem PC einen M$-Server zu DoSen? Nun, das ist...niedlich.^^
Lass am besten mal das Programm HijackThis dein System scannen und poste dein Logfile hier.

Edit:
HijackThis

Das Ding manuell löschen sollte auch gehen.^_-
Außerdem ist das sicherer, als einfach blind irgendeinem Virenprogramm zu vertrauen. ;-)


Edit 2: Ich weiß. Wollte nur noch mal darauf hinweisen.

[Pyrokar]

Winy, dass mit meinem Rechner allein geDOSt wird, ist wohl kaum möglich, dass weiß ich selbst, da haben die Server genug Leistung, einem Rechner zu widerstehen, aber es gibt ja bekanntlich Bot-Netze.

Ich bin grad dran Hijack This zu loaden, ich poste dann meinen Logfile nochmal extra.
Sagt mal, kann es sein, dass ATI an seine Treiber neuerdings die Adware Bargain mit dran hängt, ich hab mir grad den neuesten runtergeladen und da ist der dran. Allerdings war ich auf ATI.de, ist die Site vielleicht getürkt?

[Pyrokar]

So, hier nun der Logfile von Hijack This:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 23:22:55, on 17.03.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\kxmixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\GetRight\GetRight.exe
D:\Programme\GetRight\GetRight.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Cartman\LOKALE~1\Temp\Rar$EX00.903\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\System32\kxmixer.exe --startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - d:\Programme\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - d:\Programme\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\Tcpip\..\{9970978A-B66F-4DAA-841F-0CB4E7851122}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

[Winyett Grayanus]

Prima.
Dann lass das Logfile doch mal hier auswerten: http://www.hijackthis.de/de
Da sollte dir gesagt werden, was gut und böse ist.
Sieht IMO recht okay aus.

PS: Ja, ist mir auch schon aufgefallen, dass viele Benutzer von ATI-Grafikkarten auf einmal so ein Teil auf ihrem Rechner haben...

Es könnte übrigens auch was bringen CCleaner mal durchlaufen zu lassen.
http://www.ccleaner.com/

[NeM]

O4 - Global Startup: CAPIControl.lnk = ?

O17 - HKLM\System\CCS\Services\Tcpip \..\{9970978A-B66F-4DAA-841F-0CB4E7851122}: NameServer = 205.188.146.145

...

Das sind die einzigen beiden Dinge die mir nix sagen, der Rest ist normal. Ein paar der ATI Einträge kriegst du weg, wenn du im Grafiktreiber das Taskleistensymbol abschaltest, ATI Hotkeys deaktivierst und den Dienst abstellst.

[Winyett Grayanus]

O17 - HKLM\System\CCS\Services\Tcpip \..\{9970978A-B66F-4DAA-841F-0CB4E7851122}: NameServer = 205.188.146.145

...

~ nstot.proxy.aol.com
Aus dem Log entnehme ich, dass du AOL benutzt. Ich schließe daraus, dass der Eintrag okay ist und wirklich nur irgendein AOL-Proxy.

[Pyrokar]

Könnt ihr mir mal bitte noch die eine Frage beantworten: Ich hab den Treiber bei ATI.de runtergeladen, aber ist ATI.de eine Domain der ATI-Corp?

[Winyett Grayanus]

Könnt ihr mir mal bitte noch die eine Frage beantworten: Ich hab den Treiber bei ATI.de runtergeladen, aber ist ATI.de eine Domain der ATI-Corp?

...

Ich sehe da kein Problem. www.ati.de führt zu einem Unterverzeichnis der Seite www.ati.com, nämlich www.ati.com/de. So ähnlich sieht es auch aus, wenn du ati.com oder ati.de benutzt: wenn du auf den Link zu den Treibern klickst, geht es immer zur gleichen Quelle. Darüber hinaus denke ich, dass es bekannt sein sollte, wenn jemand eine ATI-Seite fälscht, ist schließlich keiner von diesen mehr oder weniger unbekannten Mini-Konzernen.