otto
08.11.2008, 10:49
Guten Tag,
da jemand versuchte meine steam,email,chat' usw. passwörter zu klauen, und egal ob passwort änderung, er hat sich immerwieder eingeloggt und versucht das passwort zu ändern.
Ich habe schon 6Viren Trojaner gefunden / nix gebracht, sind gelöscht
Ich habe 1Malware gefunden & gelöscht / nix gebracht , ist gelöscht
über command mit netstat -a auch keine aufälligen verbindungen !
Ich habe windows vista - 32bit
Command - netstat -a .Log
Microsoft(R) Windows DOS
(C)Copyright Microsoft Corp 1990-2001.
C:\USERS\LUCA>netstat -a
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 domme:0 ABHÖREN
TCP 0.0.0.0:49152 domme:0 ABHÖREN
TCP 0.0.0.0:49153 domme:0 ABHÖREN
TCP 0.0.0.0:49154 domme:0 ABHÖREN
TCP 0.0.0.0:49155 domme:0 ABHÖREN
TCP 0.0.0.0:49156 domme:0 ABHÖREN
TCP 0.0.0.0:49157 domme:0 ABHÖREN
TCP 5.138.202.109:139 domme:0 ABHÖREN
TCP 127.0.0.1:5354 domme:0 ABHÖREN
TCP 127.0.0.1:51130 domme:51131 HERGESTELLT
TCP 127.0.0.1:51131 domme:51130 HERGESTELLT
TCP 127.0.0.1:51132 domme:51133 HERGESTELLT
TCP 127.0.0.1:51133 domme:51132 HERGESTELLT
TCP 192.168.2.23:139 domme:0 ABHÖREN
TCP 192.168.2.23:50068 83.140.172.212:6669 WARTEND
TCP 192.168.2.23:51433 208.117.236.74:http HERGESTELLT
TCP [::]:135 domme:0 ABHÖREN
TCP [::]:445 domme:0 ABHÖREN
TCP [::]:5357 domme:0 ABHÖREN
TCP [::]:49152 domme:0 ABHÖREN
TCP [::]:49153 domme:0 ABHÖREN
TCP [::]:49154 domme:0 ABHÖREN
TCP [::]:49155 domme:0 ABHÖREN
TCP [::]:49156 domme:0 ABHÖREN
TCP [::]:49157 domme:0 ABHÖREN
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49160 *:*
UDP 0.0.0.0:49170 *:*
UDP 5.138.202.109:137 *:*
UDP 5.138.202.109:138 *:*
UDP 5.138.202.109:1900 *:*
UDP 5.138.202.109:5353 *:*
UDP 5.138.202.109:49166 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:49167 *:*
UDP 127.0.0.1:49981 *:*
UDP 192.168.2.23:137 *:*
UDP 192.168.2.23:138 *:*
UDP 192.168.2.23:1900 *:*
UDP 192.168.2.23:5353 *:*
UDP 192.168.2.23:49165 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5355 *:*
UDP [::]:49161 *:*
UDP [::]:49171 *:*
UDP [::1]:1900 *:*
UDP [::1]:49163 *:*
UDP [fe80::100:7f:fffe%10]:1900 *:*
UDP [fe80::100:7f:fffe%10]:49164 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:1900 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:49162 *:*
C:\USERS\LUCA>
Hjackthis.Log
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 09:01:40, on 08.11.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Luca\Desktop\HiJackThis.exe
C:\Windows\system32\conime.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [HerculesCamService] C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - h**p://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
--
End of file - 4560 bytes
da jemand versuchte meine steam,email,chat' usw. passwörter zu klauen, und egal ob passwort änderung, er hat sich immerwieder eingeloggt und versucht das passwort zu ändern.
Ich habe schon 6Viren Trojaner gefunden / nix gebracht, sind gelöscht
Ich habe 1Malware gefunden & gelöscht / nix gebracht , ist gelöscht
über command mit netstat -a auch keine aufälligen verbindungen !
Ich habe windows vista - 32bit
Command - netstat -a .Log
Microsoft(R) Windows DOS
(C)Copyright Microsoft Corp 1990-2001.
C:\USERS\LUCA>netstat -a
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 domme:0 ABHÖREN
TCP 0.0.0.0:49152 domme:0 ABHÖREN
TCP 0.0.0.0:49153 domme:0 ABHÖREN
TCP 0.0.0.0:49154 domme:0 ABHÖREN
TCP 0.0.0.0:49155 domme:0 ABHÖREN
TCP 0.0.0.0:49156 domme:0 ABHÖREN
TCP 0.0.0.0:49157 domme:0 ABHÖREN
TCP 5.138.202.109:139 domme:0 ABHÖREN
TCP 127.0.0.1:5354 domme:0 ABHÖREN
TCP 127.0.0.1:51130 domme:51131 HERGESTELLT
TCP 127.0.0.1:51131 domme:51130 HERGESTELLT
TCP 127.0.0.1:51132 domme:51133 HERGESTELLT
TCP 127.0.0.1:51133 domme:51132 HERGESTELLT
TCP 192.168.2.23:139 domme:0 ABHÖREN
TCP 192.168.2.23:50068 83.140.172.212:6669 WARTEND
TCP 192.168.2.23:51433 208.117.236.74:http HERGESTELLT
TCP [::]:135 domme:0 ABHÖREN
TCP [::]:445 domme:0 ABHÖREN
TCP [::]:5357 domme:0 ABHÖREN
TCP [::]:49152 domme:0 ABHÖREN
TCP [::]:49153 domme:0 ABHÖREN
TCP [::]:49154 domme:0 ABHÖREN
TCP [::]:49155 domme:0 ABHÖREN
TCP [::]:49156 domme:0 ABHÖREN
TCP [::]:49157 domme:0 ABHÖREN
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49160 *:*
UDP 0.0.0.0:49170 *:*
UDP 5.138.202.109:137 *:*
UDP 5.138.202.109:138 *:*
UDP 5.138.202.109:1900 *:*
UDP 5.138.202.109:5353 *:*
UDP 5.138.202.109:49166 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:49167 *:*
UDP 127.0.0.1:49981 *:*
UDP 192.168.2.23:137 *:*
UDP 192.168.2.23:138 *:*
UDP 192.168.2.23:1900 *:*
UDP 192.168.2.23:5353 *:*
UDP 192.168.2.23:49165 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5355 *:*
UDP [::]:49161 *:*
UDP [::]:49171 *:*
UDP [::1]:1900 *:*
UDP [::1]:49163 *:*
UDP [fe80::100:7f:fffe%10]:1900 *:*
UDP [fe80::100:7f:fffe%10]:49164 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:1900 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:49162 *:*
C:\USERS\LUCA>
Hjackthis.Log
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 09:01:40, on 08.11.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Luca\Desktop\HiJackThis.exe
C:\Windows\system32\conime.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [HerculesCamService] C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - h**p://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
--
End of file - 4560 bytes