Trojaner, Keylogger oder was?

[superpapa]

Hi,
da ich im privatem Bereich häufig zu Problemen an Routern, PCs u.s.w. um Rat befragt werde, kam ich jetzt auf ein für mich nicht nachvollziehbares Phänomen.
nur 1 PC im Haushalt: Medion, XP home, SP2, kein aktueller Virenschutz, an einem WLAN-freien DSL-Router mit Alice-DSL, keine externen Laufwerke, spielende Kinder. In Eigeninitiative bereits mit Norton-Ghost 2 Jahre altes System zurückgesichert.
Problem: Berliner Spasskasse sperrt Konto wegen pishing/trojaner während einer Überweisung obwohl 3x die richtige(!) TAN eingegeben , Ebay sperrt wegen Accountmissbrauch, yahoo-E-Mail auch gesperrt(Ebay läuft nicht über yahoo), überall verschiedene Passwörter.
Lösungsversuche: Hijackthis meldete nichts bedeutsames, SP 3 und alle XP-Updates installiert, Antivir installiert und Komplettscan, Adaware installiert und Komplettscan, Ccleaner Komplettscan, Hijackthis jetzt sauber.
Am nächsten Tag bei einer anderen Onlinebank gesperrt, nach Entsperren bei Spasskasse gings auch nicht da laut Hotline der PC infiziert sei....
Es können doch nicht alle keine Ahnung haben? Es können doch nicht zeitgleich alle möglichen Anbieter ein internes Problem haben? Mein nächster Schritt wäre format c:, wird aber abgelehnt wegen frickeliger Software, neue HDD zwecks Testinstallation ist nicht verfügbar.
Wo könnte man nun wie suchen? Wer hat noch einen Denkanstoss?
Gruß
Michael

 

[doc456]

Hallo,

hol dir mal eine Live-CD von z.B. Knoppix oder Avira, boote damit und reinige den PC mit der CD...

 

[superpapa]

Danke, doc,
aber was soll das bringen? Gibt es inzwischen Schädlinge, die sich vor allen oben gelisteten Applikationen erfolgreich verstecken können? Habe sogar schon die hijackthis.exe umbenannt, um ein Verstecken davor verhindern zu wollen. Alle Ergebnisse waren sauber.
Der RootkitRevealer 1.71 zeigt zwar was an, leider bin ich zu blöde, den auszuwerten. Gibts dafür irgendwo so etwas ähnliches, wie hijackthis.de, der beim Auswerten hilft?
Gruß
Michael

 

[doc456]

Tu doch einfach das was ich geschrieben habe, denn du siehst doch, daß der RootKit was gefunden hat!

Du kriegst das nur raus, wenn du Win nicht startest!

 

[Abuze]

Der RootkitRevealer 1.71 zeigt zwar was an,

Und was? Ein Logauszug hier anzuführen hätte durchaus Sinn. Ansonsten kann ich Doc nur zustimmen - am besten sind Scans von CD/DVD mit eigenem OS

 

[a1port]

An deiner Stelle würde ich mal den PC Online Virenscannen.
Schau mal unter Google da werden mehrere Scans kostenlos angeboten.

 

[sven@mainz]

Das ist doch Käse, wenn ein Rootkit drauf ist, wird der Onlinescan nichts anzeigen, weil der Rootkit das verhindert. Es gibt nur eine sichere Möglichkeit:
Zuerst einem anderen System (kein Windows!) schauen, was man retten kann und dann den PC, so wie er ist platt zu machen (also von CD starten und alle Festplatten formatieren).

 

[gandalf94305]

Du kannst noch Spybot S&D von http://www.safer-networking.org/de/index.html versuchen. Ich habe die Erfahrung gemacht, daß dieses Tool gründlicher als Adaware arbeitet und mehr Detections enthält - insbesondere auch für "unerwünschte" Software...

Weiterhin: suche mal nach BHOCop - das ist ein Tool, mit dem Browser Helper Objects identifiziert werden können, d.h. Komponenten, die in Internet Explorer eingeklinkt sind, von denen Du jedoch ggf. nichts weisst.

Noch ein Punkt: verwende bitte für den Zugriff auf irgendwelche Internet-Systeme nicht den Internet Explorer, sondern Firefox. Es kann sein, daß die allzu laxen Sicherheitseinstellungen Deines IE ein Problem darstellen und überhaupt kein Virus/Keylogger/Trojaner/Rootkit vorliegt.

Wenn Dein RootkitRevealer-Lauf etwas angezeigt hat, wäre dies ein guter Zeitpunkt, mal einen Screenshot davon zu posten.

--gandalf.

 

[superpapa]

Danke für die Hinweise, da werd ich mich wohl ins Auto setzen müssen und ne halbe Weltreise quer durch die Stadt machen, mit Fernwartung geht sowas nun mal leider nicht.
Es gibt also tatsächlich Schädlinge, die sich erfolgreich unter XP verstecken können?
Den bei Gulli genannten Wurm Gumblar werde ich gemäß der dortigen Kommentare mal mit regedit suchen, aber wenn das auch kein Treffer ist, muss ich wohl tatsächlich mit einer Live-CD mal vor Ort. Mich irritiert aber immer noch das saubere Hijackthis-log und absolut fehlende Ergebnisse aller Scans unter laufendem Windows, irgendeinen Beifang muss doch jeder Virus/Wurm verursachen - der ist doch nicht nur dazu da, auszuspähen und dann nichts zu machen? Überträgt der nur auf sicheren Seiten irgendeinen Quatsch? Eine Fake-Anmeldung auf einem von mir betriebenen Forum(kein https) war auch korrekt.
Gandalfs Vorschläge werde ich auch noch umsetzen, dauert aber noch etwas. Firefox wird übrigens ausschließlich verwendet.
Welche weiteren Möglichkeiten gibt es noch, bei einem laufenden System per Fernwartung etwas zu finden?
Gruß
Michael

 

[Novize]

Es gibt also tatsächlich Schädlinge, die sich erfolgreich unter XP verstecken können?

Ja, nennt sich Stealth-Technologie, die dort angewandt wird. Bei Heise ist dazu jede Menge nachzulesen. Sogar Sony hat als Kopierschutz von CDs mal einen Kopierschutz-Programm mit Stealth-Technik verwendet. Auch dies war unter laufendem Windows weder durch bestimmte Dateien und Verzeichnisse, noch durch bestimmte Prozesse im System sichtbar, denn der Sony-Trojaner hat sich sehr erfolgreich vor neugierigen Blicken versteckt.

Den bei Gulli genannten Wurm Gumblar werde ich gemäß der dortigen Kommentare mal mit regedit suchen...

siehe oben, der Erfolg ist je nach eingefangenem Rootkit fraglich...

Mich irritiert aber immer noch das saubere Hijackthis-log und absolut fehlende Ergebnisse aller Scans unter laufendem Windows, irgendeinen Beifang muss doch jeder Virus/Wurm verursachen...

Es gibt inzwischen sogar Rootkits, deren Proggi als Virtual Server gebootet wird, Windows läuft dann in einer Virtual Maschine. Das ist bis auf wenige Spezial-Programme nicht nachweisbar! Das Programm befindet sich komplett in einem Bootloader und hinterlässt in keinem Festplattenverzeichnis (Fat/Ntfs...) seine Spuren