Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 04.05.2007, 22:49   #1
CBUger
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Hallo,

ich war nur kurz essen, kam wieder und sah, dass die Cam leuchtete, was ein Zeichen dafür ist, dass sie läuft.

Ich machte meinen Monitor an und sah eine MSN Unterhaltung mit ner Freundin.
Da stand ne Menge Müll drin Ich habe die Cam sofort aus gemacht.
Dann sah ich drei geöffnete Editor-Fenster.
Alle zeigten die selbe Datei an (Neu Textdokument (3).txt an. Dieses Dokument wurde auf dem Desktop abgelegt und hat den Inhalt:und wie ist es????)
Ein Editor-Fenster war maximiert alle anderen auf normaler Größe. Aber alle Minimiert in der Taskleiste)
Ich schaute in den Firefox und sah die Firefox-Google-Startseite mit dem folgenden Inhalt im Suchfeld: ich hab dich geheckt hahahhahahahahahah mach was ich will oder dein pc ist tot)

Und ich habe noch eine neue Datei im system32 Verzeichnis entdeckt. Die nvapps.xml mit XML-Infos zu irgendwelchen Spielen.
Andere Merkmale kann ich leider nicht erkennen.

Hier mal nen HijackThis Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 22:48:29, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Logitech\Easy Synchronization\servicestub.exe
C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF2.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\install\wincmd\WINCMD32.EXE
C:\Programme\eRightSoft\SUPER\SUPER.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\X-NetStat Professional\xns5.exe
C:\install\wincmd\WINCMD32.EXE
C:\WINDOWS\System32\mshta.exe
c:\PCWELT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAmazonInterface.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEbayInterface.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: NuSphere ToolBar - {0F62D223-9206-4EA3-9EA8-D0F3C7C82ACA} - C:\Programme\nusphere\phped\nubar\NuSphereIEBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe --ports
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Exif Launcher 2.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: amazon Suche - C:\Programme\Mediapiraten\Mediapiraten\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Mediapiraten\Mediapiraten\Searchamazon.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Mediapiraten\Mediapiraten\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Mediapiraten\Mediapiraten\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Mediapiraten\Mediapiraten\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Mediapiraten\Mediapiraten\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Mediapiraten\Mediapiraten\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Mediapiraten\Mediapiraten\SearchGoogle.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: NuSphere PhpED :: Debug this page - res://C:\Programme\nusphere\phped\nubar\NuSphereIEBar.dll/1000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/089cc4b4857abc8d1915/netzip/RdxIE601_de.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5406FC24-2379-4202-93C0-8C1AA6E0246E}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBF08FF4-B3A7-45DA-8395-699032A351D7}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Logitech Easy Synchronization - Unknown owner - C:\Programme\Logitech\Easy Synchronization\servicestub.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Mklmonservice - blue-series - C:\WINDOWS\system32\mklmon32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Lasse zur Zeit auch AntiVir laufen.
Habe dieses Logfile auch schon mit dem Auwerter von hujackthis.de auswerten lassen. Habe darin die mklmon32.exe entdeckt und mit AntiVir gecheckt. Die war wohl infiziert und ich habe sie löschen lassen.
Das war aber isher das einzige. Wie gesagt, AntiVir läuft noch.

Hoffe mir kann jemand helfen.

Gruß
CBUger

Alt 05.05.2007, 00:12   #2
Le Pfannenwender
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



C:\install\wincmd\WINCMD32.EXE
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\eRightSoft\SUPER\SUPER.exe
C:\Programme\X-NetStat Professional\xns5.exe
C:\WINDOWS\Slave.exe < Wenn möglich überprüfen, versteckt sich aber wahrscheinlich gut

alles bei Online Malware scan oder http://www.virustotal.com/
überprüfen und hier ergebnisse posten

außerdem läuft da ein vnc server. haste den selber installiert?
wahrscheinlich wurde das über diesen gemacht.
C:\Programme\RealVNC\VNC4\WinVNC4.exe
Sehr wahrscheinlich, dass es über diesen VNC -Server gemacht wurde. Da ist es ziemlich einfach mal so eine Txt-Datei zuerstellen und in MSN die Cam anzumachen. Muss natürlich nicht sein so wie es aussieht hast du noch mehr z.b. Ein Trojaner und viiieeel Spyware, deswegen ja die dateien überprüfen. Erstmal fixen:
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Weißt du was an dem Eintrag lustig ist? Da steht file missing obwohl das Programm doch gerade ausgeführt wird. Scheint was schlimmeres zu sein.




achja mklmon32.exe == Spyware

das heißt ziemlich schlimm verseuchtes system. poste mal ergebnisse
__________________


Geändert von Le Pfannenwender (05.05.2007 um 00:22 Uhr)

Alt 05.05.2007, 00:44   #3
CBUger
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Danke für die schnelle Antwort.

Zitat:
C:\install\wincmd\WINCMD32.EXE
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\eRightSoft\SUPER\SUPER.exe
C:\Programme\X-NetStat Professional\xns5.exe
C:\WINDOWS\Slave.exe < Wenn möglich überprüfen, versteckt sich aber wahrscheinlich gut
WINCMD32.EXE ist der Windows Commander (jetzt Total Commander) ein Dateimanager.
ClipInc-Server.exe ist einfach ein Dienst der im Hintergrund alles was man über die Boxen hört aufzeichnet. Ist gedacht um Musik im Radio mitzuschneiden.
UnlockerAssistan.exe ist ein PW-Welt Tool.
SUPER.exe ist ein Konvertierungstool das viele Audio- und Videoformate umwandeln kann.
xns5.exe ist ein Tool das alle bestehenden Verbindungen übersichtlich darstellt (Funktion wie netstat)
Slave.exe sagt mir was. War der Meinung, dass ich die mal gelöscht habe, weil mir die komisch vorkam. Kann sie unter C:\Windows auch nicht mehr finden. Im Taskmanager wird die auch nicht angezeigt unter Prozesse. Bin der Meinung vor dem löschen wurde sie angezeigt.

Ja, den VNC-Dienst habe ich mir eingerichtet.
Habe heute im Router auch festgestellt, dass ich einen Port freigegeben hatte, weil ich als Server auf Verbindungswünsche von Bekannten gewartet habe, damit ich diesem helfen kann.
Kann der Server auch dafür genutzt werden, um auf den Rechner (auf dem der Server läuft) zugegriffen werden kann?
Ich dachte eigentlich, dass nur auf den Client-Rechner zugegriffen werden kann.

C:\Programme\RealVNC\VNC4\WinVNC4.exe ist vorhanden, weil doch dahinter stand (missing file).

Ich werde trotzdem mal die angegebenen Dateien scannen und die Ergebnisse postet, auch wenn ich mit keinen Funden rechne.


Außerdem haben die "Hacker" wohl nem Freund über ICQ ne exe-Datei geschickt mit angeblich "sexy Mädelz" drin.
Habe die Datei mal bei VirusTotal gescannt.
Ergebnis hier: ::::: VirusTotal :::::
__________________

Alt 05.05.2007, 00:54   #4
CBUger
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Noch die Ergbenisse der Scans:
Datei: WINCMD32.EXE
Auslastung:
0% 100%
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
ASPACK

Wie gesagt, WINCMD32.EXE ist ein Dateimanager. Vllt. liegt es daan, dass ein Packprogramm gefunden wurde.
Nutze den schon seit Ewigkeiten und alles ist ok.

Alle anderen Programme sind OK sagt der Online Malware Scan.

Alt 05.05.2007, 10:20   #5
Le Pfannenwender
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Zitat:
Außerdem haben die "Hacker" wohl nem Freund über ICQ ne exe-Datei geschickt mit angeblich "sexy Mädelz" drin.
Habe die Datei mal bei VirusTotal gescannt.
Ergebnis hier: ::::: VirusTotal :::::
Ne Link geht nicht, poste ergebniss hier
wenn du den RealVNC nur als Client benutzen willst, brauchst du doch keine Ports freigeben. wenn du es als server benutzen willst musst du das zwar, aber du solltest vielleicht ein besseres passwort benutzen. weißt du noch welcher virus das war "Slave.exe"?
Normal ist diese Datei das Backdoor.Win32.RA-based (trojaner)

Zitat:
Slave.exe Datei Info

Der RA Server Prozess gehört zur Software RA der Firma TWD Industries SAS oder TWD Industries, LLC.

Charakteristik: Slave.exe befindet sich im Ordner C:\Windows oder manchmal in einem Unterordner von C:\. Bekannte Dateigrößen unter Windows XP sind 90354 bytes (25% aller Vorkommen), 89330 bytes, 100594 bytes, 84722 bytes, 80114 bytes, 90866 bytes.
Slave.exe enthält keine Auskunft über die Entwickler. Sie ist im Windows Ordner obwohl sie keine Windows Systemdatei ist. Diese Datei wird vom Betriebssystem Windows nicht benötigt. Das Programm ist nicht sichtbar. Das Programm lauscht oder sendet an einem Port um Daten ins LAN oder Internet zu senden. Slave.exe kann Eingaben aufzeichnen, sich versteckten. Deshalb bewerten wir diese Datei zu 65% als gefährlich, aber vergleichen Sie diese Wertung mit den Mitglieder Meinungen.

Externe Information von Paul Collins:

* "RA Server" wird definitiv nicht benötigt. Erstellt durch den RA TROJAN!

Hinweis: Viren und andere schädliche Dateien können sich als Slave.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess Slave.exe auf Ihrem PC um einen Schädling handelt. Möchten Sie die Sicherheit Ihres PCs überprüfen, so empfehlen wir Ihnen die Software Security Task Manager.
File Information - Slave.exe Fehler deinstallieren
ich halte es für sehr wahrscheinlich, dass es sein backdoor ist. heißt, dass du neu aufsetzen musst: Neuaufsetzen


Geändert von Le Pfannenwender (05.05.2007 um 10:37 Uhr)

Alt 05.05.2007, 13:48   #6
CBUger
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Hier nochmal das Ergebnis der exe:
Complete scanning result of "hot_diashow.exe", received in VirusTotal at 05.05.2007, 14:32:53 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.05.2007 no virus found
Authentium 4.93.8 05.04.2007 no virus found
Avast 4.7.997.0 05.05.2007 no virus found
AVG 7.5.0.467 05.05.2007 BackDoor.Generic5.UEI
BitDefender 7.2 05.05.2007 MemScan:Backdoor.Bifrose.NQ
CAT-QuickHeal 9.00 05.05.2007 no virus found
ClamAV devel-20070416 05.05.2007 Trojan.Packed
DrWeb 4.33 05.05.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3614 05.04.2007 no virus found
Ewido 4.0 05.05.2007 no virus found
FileAdvisor 1 05.05.2007 no virus found
Fortinet 2.85.0.0 05.05.2007 BDoor.CEP!tr.bdr
F-Prot 4.3.2.48 05.04.2007 no virus found
F-Secure 6.70.13030.0 05.05.2007 no virus found
Ikarus T3.1.1.7 05.05.2007 no virus found
Kaspersky 4.0.2.24 05.05.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.05.2007 no virus found
NOD32v2 2243 05.05.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.05.2007 no virus found
Prevx1 V2 05.05.2007 no virus found
Sophos 4.17.0 05.04.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.05.2007 no virus found
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.04.2007 no virus found
VirusBuster 4.3.7:9 05.05.2007 no virus found
Webwasher-Gateway 6.0.1 05.05.2007 Heuristic.Crypted

Aditional Information
File size: 1338880 bytes
MD5: 6e8d1582028fbe095837c40a0eca8fa7
SHA1: 8e758f1871812c0147a874411d4c7ce502729dde
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Ich weiß nicht mehr was die Slave.exe für einer war.

Ist es wirklich nötig das System neu aufzusetzen?
Und wenn man dies tut, gibt es nicht Möglichkeiten, dass Dateien infiziert wurden (z.B. Word-Dateien, MP3, WMA oder ähnliche) und sobald man diese ausführt, wieder ein Virus aktiv wird?


Hab mir bei Virusslist mal die Definition angeschaut:
Zitat:
Removing the Server

To remove the server component from the system, you need to run AVP with the latest updates and let it delete the server. You also need to delete the registry key manually.

You may also manually delete the registry key, reboot the computer and delete the server file SLAVE.EXE in the Windows directory.
Die Slave.exe ist ja im Windows-Verzeichnis nicht mehr vorhanden und der Registry-Schlüssel ist auch nicht mehr da.

Alt 05.05.2007, 18:33   #7
Le Pfannenwender
 
Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Standard

Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...



Ja hast du also sogar mehrere Backdoortrojaner drauf. Solltest also so schnell wie möglich neuaufsetzen. Du kannst natürlich MP3,WMA,word-dateien und ähnliches sichern. aber auf keinen fall ausführbare dateien. beachte bitte alles auf: http://www.trojaner-board.de/12154-a...sicherung.html sehr genau! vorallem nachdem du neuaufgesetzt hast, alles abgesichert hast solltest du deine Passwörter ändern.

Geändert von Le Pfannenwender (05.05.2007 um 18:39 Uhr)

Antwort

Themen zu Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...
antivir, auswerten, avg, bho, computer, cyberlink, desktop, excel, firefox, fritz!, hacked, hijack, hijackthis, hijackthis logfile, internet, internet explorer, konvertieren, locker, logfile, monitor, mozilla, mozilla firefox, pdf-datei, rundll, senden, server, software, starten, super, system, tot, windows, windows xp



Ähnliche Themen: Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...


  1. Unsere Kontakte wurden gestohlen, jetzt werden Emails mit unserem Namen versandt
    Log-Analyse und Auswertung - 13.10.2015 (5)
  2. Malware? SPAM-Mails in meinem Namen an meine Kontakte
    Log-Analyse und Auswertung - 28.09.2015 (10)
  3. Email Account gehackt: Email Versand an meine Kontakte mit meinem Namen, aber anderer Email Adresse.
    Log-Analyse und Auswertung - 29.07.2015 (3)
  4. Spam Mails in meinem Namen von anderen Seiten
    Plagegeister aller Art und deren Bekämpfung - 20.02.2015 (1)
  5. Kontakte aus meinem Yahoo Adressbuch erhalten Spam-Emails von meinem Account
    Plagegeister aller Art und deren Bekämpfung - 23.06.2014 (11)
  6. Meine Outlook-Kontakte erhalten Mails unter meinem Namen, aber falscher Mailadresse
    Plagegeister aller Art und deren Bekämpfung - 30.04.2014 (15)
  7. Meine Mail-Kontakte erhalten Mails unter meinem Namen und fast identischer Mailadresse
    Plagegeister aller Art und deren Bekämpfung - 15.04.2014 (4)
  8. Bei Facebook werden Leute von meinem Acc angeschrieben und beleidigt.
    Plagegeister aller Art und deren Bekämpfung - 16.07.2013 (3)
  9. Verschlüsselter Trojaner der E-Mails in meinem Namen verschickt
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (1)
  10. GMX verschickt spam links in meinem Namen
    Log-Analyse und Auswertung - 14.08.2012 (1)
  11. Schickt GMX Mails in meinem Namen?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (8)
  12. Mahnung von commanderart angehängte zip mit meinem Namen und Überweisungsträger Anwendung
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  13. Hotmail (MSN) versendet SPAM-Mails in meinem Namen
    Plagegeister aller Art und deren Bekämpfung - 03.03.2012 (1)
  14. Infizierte E-Mails werden von meinem Konto versendet an alle Kontakte.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (3)
  15. Spam Emails werden in meinem Namen verschickt.
    Log-Analyse und Auswertung - 31.05.2009 (5)
  16. Mails werden in meinem Namen verschickt
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (1)
  17. Wer verschickt Mails in meinem Namen, und wie???
    Plagegeister aller Art und deren Bekämpfung - 30.04.2005 (3)

Zum Thema Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... - Hallo, ich war nur kurz essen, kam wieder und sah, dass die Cam leuchtete, was ein Zeichen dafür ist, dass sie läuft. Ich machte meinen Monitor an und sah eine - Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ......
Archiv
Du betrachtest: Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.