Leute ich wurde hacked vlt kann mir wer helfen

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von 3Raz0r, 30. Oktober 2008 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 30. Oktober 2008
    Ich wurde hacked.
    gerade serv ini gefunden C:\System Volume Information\_restore{290746B9-E0DF-42A5-9780-D989AFE3EB1E}\RP145

    hab mal scan gemacht vlt kennt sich da jemand aus die Spoolsv.exe hab ich del aber da muss glaub nochwas laufen vlt weiß jemand was.

    bitte bitte schnell BW ist sicher will den H**o nicht länger bei mir!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:43:07, on 30.10.2006
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20900)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\WINDOWS\System32\rs32net.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FolderSize\FolderSizeSvc.exe
    C:\Programme\ICQ6Toolbar\ICQ Service.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\RhinoSoft.com\Serv-U\ServUDaemon.exe
    C:\Programme\TeamViewer3\TeamViewer_Host.exe
    C:\Programme\TeamViewer3\TeamViewer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trillian\trillian.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Winamp\winamp.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    R3 - URLSearchHook: (no name) - - (no file)
    R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
    O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
    O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
    O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - C:\Programme\RhinoSoft.com\Serv-U\ServUDaemon.exe
    O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Programme\TeamViewer3\TeamViewer_Host.exe

    --
    End of file - 9518 bytes
     
  3. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    wie wärs mit
    C:\Programme\RhinoSoft.com\Serv-U\ServUDaemon.exe

    oder haste das von dir aus aufm pc ?

    . . . da wäre noch die rs32net.exe , die steht manchma mit trojanern in verbindung , kannste einfach ma googeln
     
  4. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Ja die ist von mir selber!
     
  5. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Ehm kannste die servu.ini mal posten ?

    Dann denke ich haste nen Router da einfach drauf dann Passwort ändern und alle Ports dicht machen bzw erstmal gucken welche offen sind von denen du nichts weisst


    Und dann evtl mal gucken ob du irgendwo Logs findest weisst ja net ob du was an hast

    Oder was hälst du davon wenn du mal deinen ISP anrufst ? Vllt können die dir helfen

    Sonst wie gesagt einfach alles scannen und dicht machen Dann biste den erstmal los vorallem erstmal gucken wie er vllt drauf gekommen sein könnte das Leck dann aufjedenfall stopfen
     
  6. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    rofl =) =) =) =)
    Wenn man irgentwas löscht landet es unter anderem namen in einem unterordner vom recycler.
    er hat seine locale servu ini gelöscht und diese jetzt gefunden =) =) =) =)
    also: harmlos
    Was bringt es dir eig. den Druckerserivce zu löschen (spoolsv.exe) ?

    mfg alex²
     
  7. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    ich dachte es wäre die spools.exe zum auto Start deswegen.

    und das ich alles del hab kotzt es mich an war so ne schnelle reaktion wo ich mich jetzt nur aufreg!
     
  8. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Hi.

    IMMER MIT DER RUHE
    C:\System Volume Information ist kein richtiges Windowsverzeichniss, das hatte ich auch ab und zu das AntiVir in dem verzeichnis viren fand, das verzeichniss gab es aber nicht.
    Ich vermute das ist sowas wie ein unsichtbarer papierkorb oder quarantäne.
    Das legt sich mit der zeit, meist nach 1-2 Wochen. Dann wird nichtsmehr gefunden.
    Bei mir war es so, das ich einen Trojaner gelöscht habe und ca 1 Monat später etwas in C:\System Volume Information gemeldet wurde bzw der selbe trojaner, daher die schlussfolgerung es ist eine quarantäne o.Ä.

    Dein Hijackthis-Scan sieht auch recht ordentlich aus.
    Ich denke du hast keinen Grund zur Sorge, evtl mal einen komplettscan und auch spybot mal durchlaufen lassen

    Mein geheimrezept:
    Systemwiederherstellung + Spybot + Virenscan + Hijackthis (auch in dieser reihenfolge) = Sauber

    Hoffe ich konnte ein wenig helfen
    Erich

    PS: Vermutte das du AntiVir nutzt, oder? Scheint ein pures AntiVir - Phänomen zu sein
     
  9. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Failed.

    a) C:\System Volume Information gibt es (auch auf allen anderen Platten)
    b) Du kannst unter Windows nur nicht darauf zugreifen.
    c) Ich packe, wenn ich nen Stro ""gehackt"" habe immer alles da rein =) (Was ich tue ist nicht maßgeblich, aber viele Viren und Trojaner können sich auch dort einnisten) .
    d) Also ist es potentiell sehr gefährlich Dateien in "System Volume Information" zu ignorieren.
    e) Hat er die Sachen im Recycler gefunden.
    f) Systemwiederherstellung + Spybot + Virenscan + Hijackthis ist eine gute Idee, mache ich auch meistens so, wenn mal was ist.

    Bitte fangt jetzt aber nicht an zu versuchen alles aus dem "System Volume Information" zu löschen, dass ist garnicht gut.

    //Edit: Irgentwie hatte ich grade Spaß am Alphabet =)

    Mfg Alex²
     
  10. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Stimmt nicht ganz, du kannst dir mit der erweiterten Freigabe selber die Zugriffsrechte für das Verzeichnis geben, so das du Dateien dort löschen/verändern/whatever kannst.
    Agree, falls du dann per Systemwiederherstellung nen altes Backup wiederherstellen willst ist der PC anschliessend virenverseucht.
    Kann ich so nur empfehlen, allerdings würde ich auf die Systemwiederherstellung verzichten.
    Zudem könntest du noch ne Kaspersky Boot-CD laufen lassen, welche dann nicht von einem (evtl.) verseuchten System aus operiert.

    MFG
    TuXiFiED
     
  11. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    woher weisst du denn, dass du gehackt wurdest?

    rs32net.exe sieht mir noch am gefährlichsten aus, der rest scheint sauber zu sein


    ps: in system-volume-information werden die daten zur systemwiederherstellung gespeichert. wenn ihr die ausschaltet wird der ordner zwar noch existierern, jedoch werden keine daten mehr gespeichert. zugreifen könnt ihr auf den ordner ausserdem auch, einfach als berechtigung "jeder" reinmachen und nen haken rein. wenn ihr hier nen virus drinne habt, liegt das meisstens daran, dass ihr nen virus gelöscht hat und windows in seiner klugheit ein backup der gelöschten datei dort hingepflanzt hat.
     
  12. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Er wurde garantiert nicht gehackt , es ist zu 99% so, wie ich es in meinem ersten Post ausgeführt habe. Es gibt keine Anzeichen für eine fremde Serv-U (Kein Service etc.)
    Außerdem hat er das Ding (was nicht existiert) schon gekillt, indem er die vermeintliche .ini gelöscht hat (müsste theroretisch nurnoch rebooten).

    Aber mit der rs32net.exe hast du recht, es ist mit großer Wahrscheinlichkeit ein Trojaner o.ä.

    rs32net - rs32net.exe - Program Information

    So haben wir also doch noch was gefunden =)

    Mfg Alex²
     
  13. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    Also den Spoolserver für Drucker zu löschen... nC ;>

    Also nen Kiddietrojaner hast du laufen:

    Sophos sagt dazu:

    Troj/Agent-HSA
    Aliases

    * TROJ_PANDEX.DR
    * Trojan.Win32.Agent.aefi
    * Generic.dx
    Troj/Agent-HSA is a Trojan for the Windows platform.

    When first run Troj/Agent-HSA copies itself to \rs32net.exe.

    The following registry entry is created to run rs32net.exe on startup:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    rs32net
    \rs32net.exe

    hier ist der Link:
    Search Results - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutions | Sophos Data Protection for Business


    Ansonsten seh ich so auf den ersten Blick mal nix wildes...
     
  14. 30. Oktober 2008
    AW: Leute ich wurde hacked vlt kann mir wer helfen

    vor 4h ging gar nichts mehr!

    hör nur noch ding ding ding antivir !!! hab also dann Form C: scheiß doch drauf^^

    bw ging für meiste raus alle gingen nicht aber folgen noch.

    danke an alle nochmal das mir viel geholfen haben

    lg 3Raz0r
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.