Hilfe wurde gehackt!!!

Peter09 · 04.07.2007, 12:42

Viel spaß damit

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AtiTrayTools" = ""E:\ATI Tray Tools\atitray.exe"" ["Ray Adams"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KAVPersonal50" = ""E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"type32" = ""C:\Programme\Microsoft IntelliType Pro\type32.exe"" [MS]
"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS]
"ICQ Lite" = ""E:\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{25BB10D9-49B8-69B4-3A6E-C4044D77D9C4}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\atiamd\svchost.exe s" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "E:\Adobe Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Microsoft Office 2003\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "E:\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]
"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]
"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]
"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
-> {HKLM...CLSID} = "Schnurlose Eigenschaften"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
-> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
-> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
-> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "E:\Adobe Reader\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\matrix2.scr" [null data]

Startup items in "*****" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart
<<!>> "desktop(2).ini" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> "desktop(2).ini" [null data]
"Kaspersky Anti-Hacker" -> shortcut to: "E:\Kaspersky Anti-Hacker\KAVPF.exe /silence" ["Kaspersky Lab"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "E:\ICQLite\ICQLite.exe" ["ICQ Ltd."]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
kavsvc, kavsvc, ""E:\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
StarWind iSCSI Service, StarWindService, "E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 18 seconds, including 4 seconds for message boxes)

myrtille · 04.07.2007, 12:52

Hi,
bin mit der Sorte Logs nicht wirklich auf du, und würde daher jemand anders bitten auch nochmal drüber zu schauen.
Das einzige was mir aufgefallen ist, ist dieser Eintrag:

Zitat:

HKLM\Software\Microsoft\Active Setup\Installed Components\
{25BB10D9-49B8-69B4-3A6E-C4044D77D9C4}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\atiamd\svchost.exe s" [null data]

Lass daher vielleicht mal die Datei bei virustotal auswerten:
C:\WINDOWS\system32\atiamd\svchost.exe (Dateien sichtbar machen)

lg myrtille

KarlKarl · 04.07.2007, 13:03

Der Eintrag ist allerdings oberverdächtig, von Lage und Aufbau stinkt das nach einem Backdoorserver.

Ansonsten: Javaversion ist veraltet und die genaue ICO-Version habe ich da nicht ausgemacht. Bei ICQ gabe es doch neulich einige sehr schwerwiegende Sicherheitslücken. Darüber hinaus fällt mir da nicht besonders auf.

Peter09 · 04.07.2007, 13:10

Ihr seit die besten! ICQ habe ich die 5.10 drauf!
Virustotal hat jetzt was gefunden!

Ist er zeigz mir verschiedene sachen!

hier die verschiedenen sachen.

a new variant of W32/NewMalware-Mr-T-Inspector!Maximus

MemScan:Backdoor.Bitfrose.NQ

Banker.gen4

Backdoor.VB.EV

Backdoor-CEP.svr

Vipre.Suspicious

Heuristic.Crypted

So wie geht es jetzt weiter???

Mir wurde eigentlich immer gesagt das Kaspersky eines der besseren Anti Virus Programm ist aber das ist ja bei mir drauf und es findet es nicht

undoreal · 04.07.2007, 13:12

Folgenden Eintrag finde ich bei der Problembeschreibung in die ein oder andere Richtung verdächtig/verwunderlich:

* HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\matrix2.scr" [null data]
*

PS:
Warum denn nicht zur Polizei? Die Beweise sollten sich doch finden lassen. Das die sich freuen ist mir schon klar aber wenn jemand euer Auto klaut geht ihr doch auch zur Polizei um den Kerl an den Arsch zu bekommen oder? Hmm ich weiss auch nicht. Solche Penner kommen halt viel zu oft davon..

Peter09 · 04.07.2007, 13:13

Ne das ist schon ok! Mein Screensaver ist von Matrix!

undoreal · 04.07.2007, 13:16

-ich weiss-

beide matrix fans?

Heike · 04.07.2007, 13:18

ob sie Beweise finden, die verwertbar sind, wenn sie denn suchen, obwohl ja der, der ne Anzeige macht, die Beweise liefern muß, sehr fraglich.

aber vielleicht finden sie ja "gefundene" Software. das wäre dann aber sehr dumm und könnte derbe nach hinten los gehen.

have fun,
Heike

Peter09 · 04.07.2007, 13:18

Ka ich schon! Der anscheint auch! So der mist ist ja jetzt gefunden! Unter deinem ersten Beitrag von eben steht ja was er gefunden hat

undoreal · 04.07.2007, 13:23

Wo hat Virustotal das Zeug gefunden? Und vorallem wie? Welche Dateien hast du durchsuchen lassen usw..

Neuaufsetzten musst du allerdings eh.!.

Gruß

Undoreal

Peter09 · 04.07.2007, 13:25

Zitat:

Zitat von myrtille

Hi,
bin mit der Sorte Logs nicht wirklich auf du, und würde daher jemand anders bitten auch nochmal drüber zu schauen.
Das einzige was mir aufgefallen ist, ist dieser Eintrag:

Lass daher vielleicht mal die Datei bei virustotal auswerten:
C:\WINDOWS\system32\atiamd\svchost.exe (Dateien sichtbar machen)

lg myrtille

Das machte ich

alexander72 · 04.07.2007, 13:28

wow finde ich cool (sorry peter) aber das ist doch endlich mal was wenn der hacker moin moin auf deinem rechner zu dir sagt - meine da weis man was man hat - nicht so wie die anderen viren/trojaner wo es immer heisst böse böse unbedingt Neuaufsetzen aber passieren tut eigentlich so gut wie nie was.

Peter09 · 04.07.2007, 13:43

kommt jungs was soll ich jetzt mach machen? Das drecktsteil ist doch jetzt gefunden!!!

myrtille · 04.07.2007, 13:52

@Peter
Damit sind wir jetzt am Punkt, an dem du entscheiden musst was du tun willst: (daher melden wir uns nimmer

)
Entweder du behältst den Rechner so wie er ist und zeigst ihn der Polizei. Wenn die ihre "Beweise" gesammelt haben, kannst du den Rechner neuaufsetzen.
Oder du setzt den Rechner direkt neu auf und verzichtest auf eine Anzeige.
Persönlich würde ich aber zur Polizei gehen, nicht das du in nem halben Jahr ne Anzeige wegen Vertreibung von illegalem Bildmaterial am Hals hast, weil der Backdoor bei dir, solange er aktiv war, nen Server aufgebaut hatte und über deinen Rechner Sachen vertrieben hat.

@Alex
Meistens passiert "nichts", weil es für den Benutzer der Backdoor ökonomisch sinnvoller ist monatelang einen Server auf deinem Rechner laufen zu lassen, anstatt 10 Minuten lang Spass mit dir zu haben.
Wenn du aber ein wenig suchst, dann wirst du auch hier im Forum genügend Leute finden, denen Ähnliches passiert ist, bei denen die Polizei zu Besuch war oder denen der Provider gekündigt hat, weil sie zuviel Spam versandt haben.
Die Leute sind dann meistens ziemlich verzweifelt (insbesondere wenn die Polizei da war

) und versuchen im nachhinein ihre Unschuld zu beweisen. Die hätten sich sicherlich gefreut, wenn ihnen früher mal jemand gesagt hätte, dass sie Neuaufsetzen müssten.

Sprich alles was Peter passiert ist und noch vieles mehr könnte auch jedem anderen "Besitzer" eines Backdoortrojaners passieren. Daher empfehlen wir eine Neuinstallation.

lg myrtille

Peter09 · 04.07.2007, 13:59

Ok also einfach löschen bringt rein gar nix?

Jetzt sagt mir aber bitte das ich nur C.platt machen muss?? Oder auch D und E?

Ich weiß nicht ob es was bringt! Aber die svchost datei wurde am 3.7.2007 um 7.39 Uhr erstellt! der hacker hat sich dann um 17.30 Uhr des gleichen Tages gemeldet!

Sorry das ich da nicht so fit.bin! Aber wie ist diese Datei auf mein system gekommen? Und warum hat mein Anti Virus nicht aufgemuckt?

Da ihr ja jetzt wisst was für einer es war kann man doch jetzt auch zu 100% sagen ob er an meine daten konnte oder nicht?

04.07.2007, 13:03	#18
KarlKarl /// Helfer-Team	Hilfe wurde gehackt!!! Der Eintrag ist allerdings oberverdächtig, von Lage und Aufbau stinkt das nach einem Backdoorserver. Ansonsten: Javaversion ist veraltet und die genaue ICO-Version habe ich da nicht ausgemacht. Bei ICQ gabe es doch neulich einige sehr schwerwiegende Sicherheitslücken. Darüber hinaus fällt mir da nicht besonders auf. __________________

04.07.2007, 13:16	#22
undoreal /// AVZ-Toolkit Guru	Hilfe wurde gehackt!!! -ich weiss- beide matrix fans? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

04.07.2007, 13:23	#25
undoreal /// AVZ-Toolkit Guru	Hilfe wurde gehackt!!! Wo hat Virustotal das Zeug gefunden? Und vorallem wie? Welche Dateien hast du durchsuchen lassen usw.. Neuaufsetzten musst du allerdings eh.!. Gruß Undoreal __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Hilfe wurde gehackt!!!

Plagegeister aller Art und deren Bekämpfung: Hilfe wurde gehackt!!!