Verdacht auf Keylogger/Backdoor -hijack log

[otto]

Guten Tag,
da jemand versuchte meine steam,email,chat' usw. passwörter zu klauen, und egal ob passwort änderung, er hat sich immerwieder eingeloggt und versucht das passwort zu ändern.
Ich habe schon 6Viren Trojaner gefunden / nix gebracht, sind gelöscht
Ich habe 1Malware gefunden & gelöscht / nix gebracht , ist gelöscht
über command mit netstat -a auch keine aufälligen verbindungen !
Ich habe windows vista - 32bit

Command - netstat -a .Log

Microsoft(R) Windows DOS
(C)Copyright Microsoft Corp 1990-2001.

C:\USERS\LUCA>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 domme:0 ABHÖREN
TCP 0.0.0.0:49152 domme:0 ABHÖREN
TCP 0.0.0.0:49153 domme:0 ABHÖREN
TCP 0.0.0.0:49154 domme:0 ABHÖREN
TCP 0.0.0.0:49155 domme:0 ABHÖREN
TCP 0.0.0.0:49156 domme:0 ABHÖREN
TCP 0.0.0.0:49157 domme:0 ABHÖREN
TCP 5.138.202.109:139 domme:0 ABHÖREN
TCP 127.0.0.1:5354 domme:0 ABHÖREN
TCP 127.0.0.1:51130 domme:51131 HERGESTELLT
TCP 127.0.0.1:51131 domme:51130 HERGESTELLT
TCP 127.0.0.1:51132 domme:51133 HERGESTELLT
TCP 127.0.0.1:51133 domme:51132 HERGESTELLT
TCP 192.168.2.23:139 domme:0 ABHÖREN
TCP 192.168.2.23:50068 83.140.172.212:6669 WARTEND
TCP 192.168.2.23:51433 208.117.236.74:http HERGESTELLT
TCP [::]:135 domme:0 ABHÖREN
TCP [::]:445 domme:0 ABHÖREN
TCP [::]:5357 domme:0 ABHÖREN
TCP [::]:49152 domme:0 ABHÖREN
TCP [::]:49153 domme:0 ABHÖREN
TCP [::]:49154 domme:0 ABHÖREN
TCP [::]:49155 domme:0 ABHÖREN
TCP [::]:49156 domme:0 ABHÖREN
TCP [::]:49157 domme:0 ABHÖREN
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49160 *:*
UDP 0.0.0.0:49170 *:*
UDP 5.138.202.109:137 *:*
UDP 5.138.202.109:138 *:*
UDP 5.138.202.109:1900 *:*
UDP 5.138.202.109:5353 *:*
UDP 5.138.202.109:49166 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:49167 *:*
UDP 127.0.0.1:49981 *:*
UDP 192.168.2.23:137 *:*
UDP 192.168.2.23:138 *:*
UDP 192.168.2.23:1900 *:*
UDP 192.168.2.23:5353 *:*
UDP 192.168.2.23:49165 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5355 *:*
UDP [::]:49161 *:*
UDP [::]:49171 *:*
UDP [::1]:1900 *:*
UDP [::1]:49163 *:*
UDP [fe80::100:7f:fffe%10]:1900 *:*
UDP [fe80::100:7f:fffe%10]:49164 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:1900 *:*
UDP [fe80::b5b7:af7a:c2ec:d9f9%8]:49162 *:*

C:\USERS\LUCA>

Hjackthis.Log

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 09:01:40, on 08.11.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Luca\Desktop\HiJackThis.exe
C:\Windows\system32\conime.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [HerculesCamService] C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - h**p://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4560 bytes

[mbeezy]

Könntest du mal netstat -b machen pls? Zu was gehört

Code:

TCP 192.168.2.23:139 domme:0 ABHÖREN
TCP 192.168.2.23:50068 83.140.172.212:6669 WARTEND
TCP 192.168.2.23:51433 208.117.236.74:http HERGESTELLT

?

Ansonsten fix mal:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Unbekannt
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - h**p://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB

[otto]

So,
dann kommt das raus:

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>netstat -b

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 127.0.0.1:51130 domme:51131 HERGESTELLT
[firefox.exe]
TCP 127.0.0.1:51131 domme:51130 HERGESTELLT
[firefox.exe]
TCP 127.0.0.1:51132 domme:51133 HERGESTELLT
[firefox.exe]
TCP 127.0.0.1:51133 domme:51132 HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52404 62.156.238.17:http WARTEND
TCP 192.168.2.23:52405 62.156.238.96:http WARTEND
TCP 192.168.2.23:52416 80.157.149.73:http WARTEND
TCP 192.168.2.23:52431 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52462 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52463 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52464 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52465 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52466 62.156.238.19:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52475 207.46.248.248:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52477 207.46.248.248:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52479 207.46.248.248:http HERGESTELLT
[firefox.exe]
TCP 192.168.2.23:52501 sponsorads:http WARTEND
TCP 192.168.2.23:52502 sponsorads:http WARTEND
TCP 192.168.2.23:52503 sponsorads:http WARTEND
TCP 192.168.2.23:52504 sponsorads:http WARTEND

C:\Windows\system32>


..??

[mbeezy]

Mach Firefox aus und mach dann nochmal netstat -b.~~~

[otto]

So firefox aus =

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>netstat -b

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 192.168.2.23:54096 62.156.238.25:http WARTEND
TCP 192.168.2.23:54274 212.72.163.3:http WARTEND
TCP 192.168.2.23:54278 212.72.163.3:http WARTEND
TCP 192.168.2.23:54279 212.72.163.3:http WARTEND
TCP 192.168.2.23:54282 212.72.163.24:http WARTEND
TCP 192.168.2.23:54288 212.72.163.24:http WARTEND
TCP 192.168.2.23:54292 cb-mv01:http WARTEND
TCP 192.168.2.23:54306 sponsorads:http WARTEND
TCP 192.168.2.23:54308 sponsorads:http WARTEND
TCP 192.168.2.23:54309 sponsorads:http WARTEND
TCP 192.168.2.23:54314 cb-mv01:http WARTEND
TCP 192.168.2.23:54315 cb-mv01:http WARTEND
TCP 192.168.2.23:54317 cb-mv01:http WARTEND

C:\Windows\system32>

[Zeko]

So firefox aus =

Microsoft Windows [Version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>netstat -b

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 192.168.2.23:54096 62.156.238.25:http WARTEND
TCP 192.168.2.23:54274 212.72.163.3:http WARTEND
TCP 192.168.2.23:54278 212.72.163.3:http WARTEND
TCP 192.168.2.23:54279 212.72.163.3:http WARTEND
TCP 192.168.2.23:54282 212.72.163.24:http WARTEND
TCP 192.168.2.23:54288 212.72.163.24:http WARTEND
TCP 192.168.2.23:54292 cb-mv01:http WARTEND
TCP 192.168.2.23:54306 sponsorads:http WARTEND
TCP 192.168.2.23:54308 sponsorads:http WARTEND
TCP 192.168.2.23:54309 sponsorads:http WARTEND
TCP 192.168.2.23:54314 cb-mv01:http WARTEND
TCP 192.168.2.23:54315 cb-mv01:http WARTEND
TCP 192.168.2.23:54317 cb-mv01:http WARTEND

C:\Windows\system32>

komisc ist irgendwie nur die verbindung zu 212.72.163.3. der hoster hat seinen sitz zumindest in hamburg. hast du da deinen provider oder betreibst du einen no-ip/dyndns acc?

[hammy]

Sponsorads:http !? "denke" das er infiziert ist und zu sponsorads Besuch ausgenutzt wird wer weiß . Ich kenn mich da nicht ganz aus aber der Port 6669 kenne ich selten, bei mir war er so gut wie nie offen zu irgendwas, auch nie gesehen bis auf jetzt.