Wie bekomm ich nen hacker von meinem rechner ?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Champ100, 19. Februar 2006 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 19. Februar 2006
    Hi!
    Ich habe folgendes prob. :
    irgendwer hat mir im msn ne datei geschickt ... den typen kannte ich eigentlch schon ein paar tage...nur heut hat er mir halt ne datei geschickt und es hat sich son komisches raute artiges bild auf meinem desktop geöffnet...wo ich mit ihm chatten konnte oO ich hab da auch noch nen screenshot von falls interesse besteht ...

    also meine frage wie bekomm ich den darunter ?
    antivirus hab ich auch schon durchlaufen lassen : /

    Bitte um Hilfe!
     
  3. 19. Februar 2006
    erstelle wärend das fenster offen ist eine hijackthis.log

    wie du das machst erfährst du Hier

    poste dann die log hier...
     
  4. 19. Februar 2006
    hiho,

    format oder machn router vorn pc (der muss aba dicht sein)

    dann kommter net mehr rein

    also wenner dir nen trojaner geschickt hat.

    mfg halloween
     
  5. 19. Februar 2006
    hmm vielen dank für die schnelle antwort also hier iss die log datei....bzw was da drinn steht.


    Logfile of HijackThis v1.99.1
    Scan saved at 22:50:52, on 19.02.2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\drivers\CDAC11BA.EXE
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\htpatch.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    C:\Programme\MessengerPlus! 3\MsgPlus.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINNT\system32\internat.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Programme\Skype\Phone\Skype.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.exe
    C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
    C:\WINNT\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\WINNT\system32\cmd.exe
    C:\Programme\Hide IP Platinum\hideippla.exe
    E:\HijackThis.exe
    C:\WINNT\system32\NOTEPAD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xjcxcfmijigxzhkkbozfjmreo.com/BNdYhbQ4E6wXaWkSndKW0Nl1QIRvoJFad_JbOao0dI1senVxqv6dp4/F47rVCldZ.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pofsbmdhaaoexk.com/BNdYhbQ4E6zVk4PAHcLhARxRlIAKee82LJG2JDTQd8g.html
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
    O2 - BHO: (no name) - {E88C90B4-A8A0-28A9-1CC3-80F4CA046398} - C:\DOKUME~1\saba\ANWEND~1\EGGSMA~1\Open Kind.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [Proc web load dale] C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\DeadBuildProcWeb\4 iso.exe
    O4 - HKLM\..\Run: [ErrorSafe] "C:\Programme\ErrorSafe\ERS.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [phone remote] C:\DOKUME~1\saba\ANWEND~1\ItchMeal\Tray close.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Microsoft Windows Update] C:\Programme\Microsoft Office\Word\rundll32.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
    O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
    O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
    O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
    O23 - Service: doit.exe (Windows cfg boot dll32) - Unknown owner - C:\WINNT\System32\doit.exe" -netsvcs (file missing)



    was auch immer das heissen mag hier oO
     
  6. 19. Februar 2006
    klick mich hart!!!!!!!!!!




    viel glück dabei

    mfg halloweenracer
     
  7. 19. Februar 2006

    Search Results - Sicherheit für Endpoints, mobile Geräte, E-Mails, Server, Web | Sophos

    da hast du es gefunden durch die exe "internat.exe" lies dir mal durch besonders "Erweitert is interessant" einfach die auto-start-einträge weg machen sollte funktionieren (möglicher weise auch die dateien löschen z.b. C:\WINDOWS\system32\internat.exe

    ist eigentlich ganz gut beschrieben

    Edit: hab noch das hier gefunden ^^

    Search Results - Sicherheit für Endpoints, mobile Geräte, E-Mails, Server, Web | Sophos

    gefunden durch "4 iso.exe"
     
  8. 19. Februar 2006
    Danke nochmal 10ner bekommt ihr beide...
    also eine böse datei hab ich da wohl drauf oO



    Böse Added by the W32/WHIPSER-B WORM! - NOTE: This particular rundll32.exe file is placed in the Windows\System folder, wheras the legitimate Windows file of the same name is located in the Windows folder on Win 98 or ME systems, and in Winnt\System32 or Windows\System32 in Windows 2000 or XP
    Trefferquote: 72 % (Resultate)
    Es liegt noch keine Besucherbewertung vor! Unbedingt fixen!



    Was kann ich da jetzt machen ?
     
  9. 19. Februar 2006
    http://www.sophos.com/virusinfo/analyses/w32whipserb.html

    schau ma da nach...

    findest garantiert ne möglichkeit, wie du den manuell löschen kannst

    mfg halloween
     
  10. 19. Februar 2006
    also
    Code:
    O4 - HKCU\..\Run: [Microsoft Windows Update] C:\Programme\Microsoft Office\Word\rundll32.exe
    is nen wurm!
    --> Added by the W32/WHIPSER-B WORM!

    Code:
    O4 - HKLM\..\Run: [ErrorSafe] "C:\Programme\ErrorSafe\ERS.exe"
    (link) ErrorSafe ist auch ein unerwuenschtes programm!

    Code:
     O23 - Service: doit.exe (Windows cfg boot dll32) - Unknown owner - C:\WINNT\System32\doit.exe" -netsvcs (file missing)
    das nen unnoetiger dienst den du auch rauswerfen kannst!

    Code:
    O4 - HKLM\..\Run: [Proc web load dale] C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\DeadBuildProcWeb\4 iso.exe
    dahinter vermute ich Adware-Spyware/Lop.ad.24 adware bzw Win32/TrojanDownloader.Swizzor



    Code:
     O2 - BHO: (no name) - {E88C90B4-A8A0-28A9-1CC3-80F4CA046398} - C:\DOKUME~1\saba\ANWEND~1\EGGSMA~1\Open Kind.exe
    Code:
     O4 - HKCU\..\Run: [phone remote] C:\DOKUME~1\saba\ANWEND~1\ItchMeal\Tray close.exe
    was diese beiden angeht hab ich leider keinen plan und auch nichts hilfreiches gefunden ... muss wohl wer anderst sich dran versuchen! allerdings koenntest du die beiden bei einem online viren dienst (wie z.b.: http://virusscan.jotti.org/ durchscannen lassen!)

    €:mischt nen weng langsam ... kommt davon wenn man neben dem latein vokablen lernen beitraege schreibt ^^
    €²: ich hoffe man verzeiht mir die rechtschreibung ^^
     
  11. 19. Februar 2006
    Und was sagt uns das jetzt ?


    Vertraue Niemandem, auch Nicht deinem Bestem Freund.
     
  12. 19. Februar 2006
    Windows 2000/XP/2003

    1. Download an emergency copy of SAV32CLI. On an uninfected Windows computer, run this file to extract the contents into a SAV32CLI folder on a medium that can be write-protected. Add any relevant IDEs to this folder and write-protect the disk (on a CD/R or CD/RW close the session).
    2. Restart the computer in Safe Mode. Go to Start|Shut Down. Select 'Restart' from the dropdown list and click 'OK'. Windows will restart. Press F8 when you see the following text at the bottom of the screen "For troubleshooting and advanced startup options for Windows 2000, press F8". In the Windows 2000 Advanced Options Menu, select the third option 'Safe Mode with Command Prompt'.
    3. At the infected computer, place the CD in the CD drive (D: in this example).
    At the command prompt type

    D:

    to access the CD drive. Type:

    CD SAV32CLI

    Then type:

    SAV32CLI -REMOVE -P=C:\LOGFILE.TXT

    4 to remove the worm.
    5 Before leaving Safe Mode, edit any registry entries mentioned in the worm analysis recovery instructions.


    from Sophos


    mfg
     
  13. 19. Februar 2006
    was für ne aussage^^

    ich glaub, das is erstma nich ausschlaggebend für sein problem, was er immernoch hat

    aber wenns gar nich geht, sichere deine dateien und format, sys neu afsetzen un danach nen hd image machen un dann kanns dir egal sein... dann kannst dein system bei worum/virusbefall in 10 min wieder herstellen und alles is wieder wie am anfang

    mfg halloween
     
  14. 20. Februar 2006
    wenn gibts da noch "fachleute" auf http://www.paulespcforum.de oda so ähnlich... sucht bei google.de!!!
    ich hab dort schon oft hilfe bekommen!!!

    greez DaNNo50H
     
  15. 20. Februar 2006
    Lösch die Datei doch einfach mit Killbox
    und verbiete dem Teil per Spybot Search & Destroy änderungen an der Registry =)


    hoffe hat geholfen
     
  16. 20. Februar 2006
    Eine gute weißheit!!
    lol
     
  17. 21. Februar 2006
    Das find ich doch mal gut leute die die sich wirklich auskennen... :]


    Solche leute musss man sich ja warm halten 8)

    Weiter so, fängt an mir hier spaß zu machen




    MFG cyprus
     
  18. 23. Februar 2006
    okay leute danke erstmal für die hilfe aber ich hab mich entschlossen den pc ganz platt zu machen...bzw iss schon geschehen.

    von mir aus kann das thema geclosed werden.
     
  19. 23. Februar 2006

    Du kannst selber closen
     
  20. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.