[Rock_n_Rollmops]

Hallo, ich habe mich gerade bei meinem deviantart-Account anmelden wollen (per Firefox) und klicke auf das Anmeldefeld um meinen Accountnamen automatisch einfügen zu lassen, so wie es in Firefox ja üblich ist. Was passiert? Neben meinem tatsächlichen Login-Namen erscheinen noch 2 weitere mir gänzlich unbekannte Login-Namen. Es ist absolut ausgeschlossen, dass jemand anders an meinem Läppi war, handelt es sich also um einen Bot oder ähnliches? Ich habe die Namen auch mal bei Google eingegeben und fand die Namen noch in einer Vielzahl anderer Foren und Profile, daher gehe ich davon aus, dass es wohl ein Bot sein müsste, wisst ihr näheres? Tja, wie kommt der hier rein? Keine Ahnung, hab keine fragwürdigen Seiten geöffnet und auch sonst Kaspersky Internet Security auf dem neuesten Stand. Muss ich mir überhaupt Sorgen machen? Bin gerade leicht verunsichert, hatte zwar schon vorher Viren oder ähnliches, aber den hier find ich doch etwas gruselig. Ich benutze übrigens Windows Vista Ultimate x64 falls es irgendwen kratzt.

[Rock_n_Rollmops]

Okay, ich habe meine Logfile von HijackThis bei hijackthis.de auswerten lassen und es sind keine Schädlinge gefunden worden, nur ein paar unidentifizierte Prozesse, die ich aber selber zuordnen konnte. Falls es aber irgendwie zur Aufklärung beiträgt poste ich hier noch die Logfile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:08:21, on 23.02.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal



Running processes:

C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe

C:\Program Files (x86)\Electronic Arts\EADM\Core.exe

D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\acrobat_sl.exe

C:\Program Files (x86)\Fingerprint Sensor\ATSwpNav.exe

D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\acrotray.exe

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Program Files (x86)\Java\jre6\bin\jusched.exe

C:\Program Files (x86)\iTunes\iTunesHelper.exe

C:\Program Files (x86)\GDI++\gditray.exe

C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files (x86)\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [ATSwpNav] "C:\Program Files (x86)\Fingerprint Sensor\ATSwpNav.exe" -run

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - Startup: GDI++.lnk = C:\Program Files (x86)\GDI++\gditray.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: On Screen Display.lnk = ?

O8 - Extra context menu item: An vorhandenes PDF anf¸gen - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Hinzuf¸gen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: Statistik f¸r den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O13 - Gopher Prefix: 

O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\OmniServ.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe

O23 - Service: TabletServiceWacom - Unknown owner - C:\Windows\system32\Wacom_Tablet.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)



--

End of file - 10295 bytes

[Spiderman]

Ich tippe mal auf ein böses Sidebar Gadget, da hilft dir auch kein Virenscanner oder HiJack.

Die Sidebar hat ca. 10x mehr Rechte als ein Browser, ist daher entsprechend gefährlich:
- Screenshots erstellen und senden
- Tastatur loggen und senden
- Tastendrücke simulieren
- exe Downloaden, oder welche im Download Pfad verändern
- exe ausführen
- Dateien lesen, schreiben und senden
- die Registrierung lesen ändern

Alles für ein Gadget kein Problem, das geht unsichtbar und ohne Admin Rechte.

Es kommt nicht umsonst eine Warnung von MS beim Download, leider kommt keiner mehr beim installieren.

Man sollte nur Software von vertrauten Quellen installieren, das ist das erste Gebot.

PS: Fast vergessen, surfen kann ein Gadget auch(unsichtbar 1x1px iFrame), also z.B. hier im Forum, es kann sich einloggen, spammen(mit Deiner IP), die Mausbewegen und klicken.
Es könnte aber auch eine böse Firefox Erweiterung sein, Gadgets hinterlassen eher im IE Spuren.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 26. Februar 2009 - 14:24

[Rock_n_Rollmops]

Zitat (Spiderman: 26.02.2009, 14:00)

Ich tippe mal auf ein böses Sidebar Gadget, da hilft dir auch kein Virenscanner oder HiJack.

Die Sidebar hat ca. 10x mehr Rechte als ein Browser, ist daher entsprechend gefährlich:
- Screenshots erstellen und senden
- Tastatur loggen und senden
- Tastendrücke simulieren
- exe Downloaden, oder welche im Download Pfad verändern
- exe ausführen
- Dateien lesen, schreiben und senden
- die Registrierung lesen ändern

Alles für ein Gadget kein Problem, das geht unsichtbar und ohne Admin Rechte.

Es kommt nicht umsonst eine Warnung von MS beim Download, leider kommt keiner mehr beim installieren.

Man sollte nur Software von vertrauten Quellen installieren, das ist das erste Gebot.

PS: Fast vergessen, surfen kann ein Gadget auch(unsichtbar 1x1px iFrame), also z.B. hier im Forum, es kann sich einloggen, spammen(mit Deiner IP), die Mausbewegen und klicken.
Es könnte aber auch eine böse Firefox Erweiterung sein, Gadgets hinterlassen eher im IE Spuren.

Gruß
Spiderman

Mit Sidebar Gagdets meinst du ein Gadget für die von Windows Vista von Haus aus vorhandene Sidebar, richtig? Die habe ich ausgeschaltet.
Ein Firefox Plugin könnte es aber sein, da habe ich mehrere installiert. Schade, eine Möglichkeit, herauszufinden, welches Plugin es sein könnte gibt es nicht, oder (außer einfach auf alle zu verzichten...)?

[Kampfrapunzel]

Mal ne andere Frage:
Nutzt Du WLAN? Vllt. hat nur jemand Deine WLAN-Verbindung mitgenutzt. Und die login-Namen sind von ihm, weil er halt hinterher nicht ordentlich "sauber" gemacht hat. Solche Bots, wie Du sie beschreibst, räumen eigentlich meist hinterher auf, um ihre Spuren zu verwischen. Man soll ihnen ja nicht so schnell auf die Schliche kommen.

[Django2]

Bei der WLAN mitbenutzung werden aber nicht die Account Daten vom Angreifer im Firefox vom Opfer gespeichert. Es sei denn er würde nicht nur das WLAN hacken sonder dann auch noch via rdp seine Session kapern und mit seinem Firefox sich wo anmelden. Das wär aber sehr weit hergeholt.

[RommTromm]

Zitat (Kampfrapunzel: 26.02.2009, 20:19)

Mal ne andere Frage:
Nutzt Du WLAN? Vllt. hat nur jemand Deine WLAN-Verbindung mitgenutzt. Und die login-Namen sind von ihm, weil er halt hinterher nicht ordentlich "sauber" gemacht hat. Solche Bots, wie Du sie beschreibst, räumen eigentlich meist hinterher auf, um ihre Spuren zu verwischen. Man soll ihnen ja nicht so schnell auf die Schliche kommen.

geht nicht... , da nur die verbindung genutzt wird und nicht der cache des Firefox oder das programm selber.

[Rock_n_Rollmops]

Genau, mein WLAN dürfte hier keiner nutzen können da es WPA2 gesichtert ist und ein MAC Adress Filter auf dem Router sitzt. Selbst wenn doch dürften die Daten nicht in meinem Firefox drinstehen, und außerdem handelt es sich bei den Logindaten eindeutig um einen Spambot (Google-Suche nach "Zbunidze" ergab mehrere Treffer "leerer" Profile in Foren und so weiter). Übrigens: Gestern habe ich mich bei QuakeLive angemeldet, einer Seite, die ich vorher noch nie geöffnet hatte. Beim Registrieren erschien wieder eine unbekannte e-Mail-Adresse, erneut der gleiche Spambot. Ich fürchte es ist relativ eindeutig, dass ich mir einen Spambot eingefangen habe.
Weiterführende Frage: Wie werde ich ihn los? Habe gestern einen kompletten Scan mit Kaspersky und Spybot S&D gemacht.

[Übertakter]

Alles Quatsch was gepostet wurde.

Firefox speichert sämtliche Log-In Namen.
Bis dato wenn man die Privaten Daten löscht.

Mein Firefox speichert auch alle Accountnamen.
Mach ich einen Doppelklick auf das Namensfeld erscheinen gleich alle namen.
Also unbedenklich.

(Solange kein Passwort danach kommt)

[Rock_n_Rollmops]

Zitat (Übertakter: 01.03.2009, 11:28)

Alles Quatsch was gepostet wurde.

Firefox speichert sämtliche Log-In Namen.
Bis dato wenn man die Privaten Daten löscht.

Mein Firefox speichert auch alle Accountnamen.
Mach ich einen Doppelklick auf das Namensfeld erscheinen gleich alle namen.
Also unbedenklich.

(Solange kein Passwort danach kommt)

Erscheinen bei dir auch Logindaten, die du noch nie eingetippt hast (und auch kein Bekannter/Freund/etc. an deinem Rechner eingetippt haben kann...)?

[loedl]

Kann es sein, dass du diese Wörter oder was das waren schon einmal irgendwo anders in einem WebFormular eingetippt hast? Ich hatte das schon ein paarmal, dass Formulardatenverläufe auch in anderen Webformularen angezeigt wurden. Oder weisst du, dass das tatsächlich existierende deviantART-Accounts sind?

Dieser Beitrag wurde von loedl bearbeitet: 04. März 2009 - 16:50

[Übertakter]

Gut ich hab die Lösung.

Firefox speichert komischer Weise alles was man in eine Eingabeleiste eingibt und dies speichert.
So kommen auch die Überschneidungen mit dem Accountnamen zusammen.

Dies hält nursolange bis man Cache und die Cookies löscht.

Kein Virus oder sonstwas, sondern nur ein Bug von Firefox

Gruß