snief ;( dann danke ich euch ... für eure mühe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:58, on 07.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Neda & Patrick\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4283262c1d5e450ca5d200b99a11e5da
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4283262c1d5e450ca5d200b99a11e5da
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5786 bytes



habe alles gelöscht in der registry.-- bei ccleaner... wie schaut denn der logfile aus?

wäre dankbar über eine antwort

mit CCleaner kriegst Du einen shark-server nicht weg, das kann ich Dir versichern. Er wäre auch in dem Log nicht unbedingt zu erkennen.

System neu aufsetzen und Strafanzeige stellen.


Domino

Zitat:

Zitat von Domino

System neu aufsetzen und Strafanzeige stellen.


Domino

ohne gerichtsfeste Beweismittel? :aplaus:

Ein Server wäre kein Beweis, das sollte doch klar sein, den kann sich ja schließlich jeder mal eben schnell selber machen.

Vielleicht sind auch ein paar gecrackte Programme auf dem Server-PC? dann wäre ne Anzeige ein schönes Eigentor, oder?

Einfach unter Erfahrung abbuchen,
Heike,

Strafanzeige stellen wirkt Wunder.




Domino

sicherlich

möglichst viel davon mitnehmen

Zitat:

In einer Anlage zur Strafanzeige sollten dann die wesentlichen Determinanten des Vorfalles beschrieben werden.

• Art und zeitlicher Rahmen des sicherheitskritischen Vorfalles.
• Der Tatverdacht bezüglich eines potentiellen Täters sollte konkretisiert werden.
• Alle Erkenntnisse über die Vorgehensweise des Täters. Eventuell ein Verweis auf die Nutzung von bereits vorhandener und bekannter Angriffssoftware, z.B. das bekannte MScan oder die neue Version SScan.
• Darstellung der prinzipiellen Angriffsvariante (DoS-Attack, TCP/IP-Sniffer etc.) oder der Kombination der Angriffsvarianten.
• Alle Erkenntnisse über den Weg des Täters. Welche IP-Adressen wurden genutzt. Ergeben sich aus den Logdaten Hinweise auf eine bestimmte Rufnummer. Gab es bereits einen direkten Kontakt (E-Mail, Chat etc.) ?
• Über welches Know-How verfügt der Angreifer? Werden nur bekannte Sicherheitslücken ausgenutzt oder sind es bislang unbekannte Mechanismen über die der Täter Zugriff auf das kompromittierte EDV-System erlangt hat?
• Gibt es, nach Erkenntnisstand des Systemadministrators, bereits Dokumentationen, Advisory's oder Sicherheitsbulletins zu dieser Angriffsvariante? Existieren eventuell schon Postings in den relevanten Newsgroups oder Mailing-Listen (WinSec, Bugtraq-Listen etc.)?
• Welche Komponenten des Netzwerkes sind betroffen (Namserver, FTP-Server etc.)? Unter welchen Betriebssystemen arbeiten diese Einzelkomponenten? Eine grundsätzliche Darstellung der Netzwerkstruktur, gerade bei heterogenen Netzen, ist sinnvoll.
• Welche Accounts wurden kompromittiert bzw. vom Täter genutzt? Welche Privilegien hatte er somit auf dem kompromittierten System?
• Geben die Logdaten Hinweise auf mögliche E-mail Accounts? Gibt es Hinweise auf die Nutzung von Re-Mailern (eventuell durch eine vorangegangene Kontaktaufnahme)?
• Jegliche Erkenntnisse über das System des Angreifers. Wenn möglich ist dieses sehr detailliert anzugeben (verwendetes Betriebssystem, Kernel Version, eventuelle Indizien für die Verwendung kryptographischer Applikationen etc.).
• Indizien für die Manipulation von Logdatenbeständen. In welchem Umfang ist hiervon, soweit verifizierbar, auszugehen?
• Gibt es Hinweise darauf, daß der Angreifer das eigene System nur als Medium nutzt, um andere Systeme anzugreifen und seine Aktivitäten zu anonymisieren? Falls dies verifizierbar ist, welche Erkenntnisse bestehen dann bezüglich dieser geschädigten Unternehmen bzw. Institutionen? Gab es bereits eine Verbindungsaufnahme zu anderen Geschädigten?
• Welches Schadensausmaß wurde bislang bei der geschädigten Institution bzw. dem geschädigtem Unternehmen bekannt?
• Die Intention des Täters. Welche - möglicherweise besonders sensiblen - Datenbestände erregen seine besondere Aufmerksamkeit?
• Welche Maßnahmen wurden, im Kontext dieses Vorfalles, bislang von der geschädigten Instituiton bzw. von dem geschädigten Unternehmen veranlaßt?
• Sind aus Sicht des geschädigten Unternehmens bzw. der geschädigten Institution Sofortmaßnahmen seitens der Ermittlungsbehörden notwendig? Dies sollte begründet und möglichst deutlich hervorgehoben werden.

DFN-CERT: Computerkriminalität aus Sicht von Ermittlungsbehörden

und

Zitat:

Der Begriff Computer-Forensik, IT-Forensik oder auch Digitale Forensik (engl. Computer Forensics, Digital Forensics, IT-Forensics) hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik, ist die Computer Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Themen wie Aufklärung nach Attacken durch Hacker oder Cracker sind ebenso relevant wie das Aufspüren von kinderpornografischem oder anderweitig illegalem Datenmaterial.

Was ist Computer-Forensik? - computer-forensik.org

Das Buch ist Übrigens sehr interessant

Heike versucht gerade die Aufklärung einer Straftat zu vereiteln.
Sollte sie den Straftäter kennen ist alle Mühe vergebens. Davon ist aber nicht zwingend auszugehen, wir wissen es nicht.
Lasse dich nicht durch die Verharmlosung seitens Heike beeinflussen. Die Polizei hat durchaus Mittel den Straftäter zu identifizieren.
Wie du vorgehst ist vollkommen dir überlassen, (das Neuaufsetzen deines Rechners meine ich nicht, das ist ohnehin bedauerliche Pflicht.)

Aber lasse dir nicht einreden das Straftaten im Internet "einfach so dazugehören".


Domino

Zitat:

Zitat von Domino

Heike versucht gerade die Aufklärung einer Straftat zu vereiteln.
Sollte sie den Straftäter kennen ist alle Mühe vergebens. Davon ist aber nicht zwingend auszugehen, wir wissen es nicht.
Lasse dich nicht durch die Verharmlosung seitens Heike beeinflussen. Die Polizei hat durchaus Mittel den Straftäter zu identifizieren.
Wie du vorgehst ist vollkommen dir überlassen, (das Neuaufsetzen deines Rechners meine ich nicht, das ist ohnehin bedauerliche Pflicht.)

Aber lasse dir nicht einreden das Straftaten im Internet "einfach so dazugehören".


Domino

wie bitte?
ich versuche die Aufklärung zu vereiteln, wenn ich sage, welche Beweismittel erforderlich sind?
Überlege Dir mal lieber, was Du hier von Dir gibst.
Ist das Rufmord? ist sowas nicht strafbar? Denke mal nach.

Have fun,
Heike

Dann gib doch mal Tipps wie er sich wehren kann, anstatt ihn von einer Anzeige abzuhalten !
Wir sind hier auf einem Hilfeboard, nicht auf einem Hackerboard !

Wenn du dich wirklich so gut auskennst, dann hilf ihm/ihr doch mal.
Anstatt zu verharmlosen "geowned ist geowned".

Das ist kein Spiel.


Domino