Bruteforce oder Trojaner oder Keylogger

[wui:>]

Hi
Brauche schnell Hilfe. Vor ~10 Minuten bekamm ich die schöne Meldung "Jemand hat sich in ihren qip.ru Account von einem anderen Computer eingelogt!". Sofort Verbindung gekappt und an anderen PC und alle wichtigen Accounts wie Paypal und die Mails geändert, bzw. bei Paypal auch alle Konten gelöscht. Ich versteh aber nicht wie das passiert ist.

Ich speichere keine Passwörter ab.
Ich hab seit langer Zeit keine .exe dateien ausgeführt, überwiegend nur .rar, .zip, .avi (und die ganzen anderen Musik und Movieformate).
Mein Antivir fand nie etwas und Spybot lief ohne murren nebenher.

Jetzt hier mein Hjackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:52, on 04.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Schützen\Avira\AntiVir Desktop\sched.exe
E:\Schützen\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
E:\Internet\Sonstiges\Java\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Schützen\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
E:\Schützen\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
E:\Schützen\Avira\AntiVir Desktop\avgnt.exe
E:\Schützen\Spybot - Search & Destroy\TeaTimer.exe
E:\Office\Rainlendar2\Rainlendar2.exe
E:\Internet\Chat\QIP Infium\infium.exe
E:\Internet\Browser\Firefox\firefox.exe
e:\schützen\avira\antivir desktop\avcenter.exe
e:\schützen\avira\antivir desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Internet\Sonstiges\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Internet\Sonstiges\Java\lib\deploy\jqs\ie\jqs_p lugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "E:\Schützen\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Schützen\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Rainlendar2] E:\Office\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\schützen\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: e:\schützen\vmware workstation\vsocklib.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Schützen\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Schützen\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Internet\Sonstiges\Java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Schützen\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Schützen\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Schützen\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 5118 bytes

Nichts großartig auffallendes, was kann dann jetzt bei mir passiert sein?

MfG wui:> schnelle hilfe wäre nett

[novaca!ne]

Ich würde genauso reagieren wie du, bin/war (nutze jetzt linux) sehr vorsichtig was .exe und andere ausführbare dateiformate betrifft.

Einmal hatte ich dei gleiche meldung von qip gekriegt, dann kam bei mir die panik und ich hab das pw geändert aber es stellte sich nachher raus das es einfach nur eine art fehler oder bug ist, diese meldung kam nämlich später nochmal und nix geschah.

Mfg

[wui:>]

Ok danke. Beruhigt mich schon ein klein wenig, ich werd jetzt das Passwort auch mal ändern und schauen ob es so weitergeht.. Danach wirds gelöscht, denn bis jetzt kann ich mir nicht vorstellen, dass es mein Fehler war, vorallem da ich es sehr komisch finde, dass der qip.ru gehackt wurde und die wichtigen Sachen unberührt blieben.