Fremde Logindaten In Meinem Browser Wie zum Teufel kommen die da hin?
#1
geschrieben 23. Februar 2009 - 03:00
Anzeige
#2 _Der dom_
geschrieben 23. Februar 2009 - 09:12
#3
geschrieben 23. Februar 2009 - 11:25
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:08:21, on 23.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe C:\Program Files (x86)\Electronic Arts\EADM\Core.exe D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\acrobat_sl.exe C:\Program Files (x86)\Fingerprint Sensor\ATSwpNav.exe D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\acrotray.exe C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\iTunes\iTunesHelper.exe C:\Program Files (x86)\GDI++\gditray.exe C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe C:\Program Files (x86)\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATSwpNav] "C:\Program Files (x86)\Fingerprint Sensor\ATSwpNav.exe" -run O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: GDI++.lnk = C:\Program Files (x86)\GDI++\gditray.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files (x86)\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AdobeCollabSync.exe O4 - Global Startup: On Screen Display.lnk = ? O8 - Extra context menu item: An vorhandenes PDF anf¸gen - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgew‰hlte Verkn¸pfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzuf¸gen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verkn¸pfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verkn¸pfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Statistik f¸r den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O13 - Gopher Prefix: O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\OmniServ.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe O23 - Service: TabletServiceWacom - Unknown owner - C:\Windows\system32\Wacom_Tablet.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 10295 bytes
#4
geschrieben 26. Februar 2009 - 14:00
Die Sidebar hat ca. 10x mehr Rechte als ein Browser, ist daher entsprechend gefährlich:
- Screenshots erstellen und senden
- Tastatur loggen und senden
- Tastendrücke simulieren
- exe Downloaden, oder welche im Download Pfad verändern
- exe ausführen
- Dateien lesen, schreiben und senden
- die Registrierung lesen ändern
Alles für ein Gadget kein Problem, das geht unsichtbar und ohne Admin Rechte.
Es kommt nicht umsonst eine Warnung von MS beim Download, leider kommt keiner mehr beim installieren.
Man sollte nur Software von vertrauten Quellen installieren, das ist das erste Gebot.
PS: Fast vergessen, surfen kann ein Gadget auch(unsichtbar 1x1px iFrame), also z.B. hier im Forum, es kann sich einloggen, spammen(mit Deiner IP), die Mausbewegen und klicken.
Es könnte aber auch eine böse Firefox Erweiterung sein, Gadgets hinterlassen eher im IE Spuren.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 26. Februar 2009 - 14:24
#5
geschrieben 26. Februar 2009 - 18:22
Zitat (Spiderman: 26.02.2009, 14:00)
Die Sidebar hat ca. 10x mehr Rechte als ein Browser, ist daher entsprechend gefährlich:
- Screenshots erstellen und senden
- Tastatur loggen und senden
- Tastendrücke simulieren
- exe Downloaden, oder welche im Download Pfad verändern
- exe ausführen
- Dateien lesen, schreiben und senden
- die Registrierung lesen ändern
Alles für ein Gadget kein Problem, das geht unsichtbar und ohne Admin Rechte.
Es kommt nicht umsonst eine Warnung von MS beim Download, leider kommt keiner mehr beim installieren.
Man sollte nur Software von vertrauten Quellen installieren, das ist das erste Gebot.
PS: Fast vergessen, surfen kann ein Gadget auch(unsichtbar 1x1px iFrame), also z.B. hier im Forum, es kann sich einloggen, spammen(mit Deiner IP), die Mausbewegen und klicken.
Es könnte aber auch eine böse Firefox Erweiterung sein, Gadgets hinterlassen eher im IE Spuren.
Gruß
Spiderman
Mit Sidebar Gagdets meinst du ein Gadget für die von Windows Vista von Haus aus vorhandene Sidebar, richtig? Die habe ich ausgeschaltet.
Ein Firefox Plugin könnte es aber sein, da habe ich mehrere installiert. Schade, eine Möglichkeit, herauszufinden, welches Plugin es sein könnte gibt es nicht, oder (außer einfach auf alle zu verzichten...)?
#6
geschrieben 26. Februar 2009 - 19:19
Nutzt Du WLAN? Vllt. hat nur jemand Deine WLAN-Verbindung mitgenutzt. Und die login-Namen sind von ihm, weil er halt hinterher nicht ordentlich "sauber" gemacht hat. Solche Bots, wie Du sie beschreibst, räumen eigentlich meist hinterher auf, um ihre Spuren zu verwischen. Man soll ihnen ja nicht so schnell auf die Schliche kommen.
#7
geschrieben 26. Februar 2009 - 19:36
#8
geschrieben 26. Februar 2009 - 19:36
Zitat (Kampfrapunzel: 26.02.2009, 20:19)
Nutzt Du WLAN? Vllt. hat nur jemand Deine WLAN-Verbindung mitgenutzt. Und die login-Namen sind von ihm, weil er halt hinterher nicht ordentlich "sauber" gemacht hat. Solche Bots, wie Du sie beschreibst, räumen eigentlich meist hinterher auf, um ihre Spuren zu verwischen. Man soll ihnen ja nicht so schnell auf die Schliche kommen.
geht nicht... , da nur die verbindung genutzt wird und nicht der cache des Firefox oder das programm selber.
Mein sys:
X4 965---GIGABYTE GA-MA785GT-UD3H --- XFX 5870
-DATA 4GB DDR3-1333 XPG----22 Zoll TFT Samsung----Epson Sylus R300
LG DVD-RW Logitech G15, Corsair 650 Watt
GNN-Gaming-Nation-Network
#9
geschrieben 26. Februar 2009 - 19:50
Weiterführende Frage: Wie werde ich ihn los? Habe gestern einen kompletten Scan mit Kaspersky und Spybot S&D gemacht.
#10
geschrieben 01. März 2009 - 11:28
Firefox speichert sämtliche Log-In Namen.
Bis dato wenn man die Privaten Daten löscht.
Mein Firefox speichert auch alle Accountnamen.
Mach ich einen Doppelklick auf das Namensfeld erscheinen gleich alle namen.
Also unbedenklich.
(Solange kein Passwort danach kommt)
#11
geschrieben 01. März 2009 - 11:52
Zitat (Übertakter: 01.03.2009, 11:28)
Firefox speichert sämtliche Log-In Namen.
Bis dato wenn man die Privaten Daten löscht.
Mein Firefox speichert auch alle Accountnamen.
Mach ich einen Doppelklick auf das Namensfeld erscheinen gleich alle namen.
Also unbedenklich.
(Solange kein Passwort danach kommt)
Erscheinen bei dir auch Logindaten, die du noch nie eingetippt hast (und auch kein Bekannter/Freund/etc. an deinem Rechner eingetippt haben kann...)?
#12
geschrieben 04. März 2009 - 16:49
Dieser Beitrag wurde von loedl bearbeitet: 04. März 2009 - 16:50
#13
geschrieben 08. März 2009 - 03:54
Firefox speichert komischer Weise alles was man in eine Eingabeleiste eingibt und dies speichert.
So kommen auch die Überschneidungen mit dem Accountnamen zusammen.
Dies hält nursolange bis man Cache und die Cookies löscht.
Kein Virus oder sonstwas, sondern nur ein Bug von Firefox
Gruß