Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gehackt =(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.09.2008, 17:33   #1
zZz
 
Gehackt =( - Standard

Gehackt =(



hallo liebe Com
ich bin mir 100% sicher das ich gehackt wurde da es auf meinem Pc
3 neue Konten gibt
sie heißen cheese, pie, waffle
bitte helft mir das ich den angreifer wieder aus meinem system bringe
danke

Alt 08.09.2008, 17:37   #2
Tayk
 

Gehackt =( - Standard

Gehackt =(



Zitat:
ch bin mir 100% sicher das ich gehackt wurde da es auf meinem Pc
3 neue Konten gibt
Ich glaube zwar nicht das du gehackt im eigendlichen sinne bist denn hacker gehen ganz sicher nicht mit so offensichtlichen dingen vor! Wenn sie rechte brauchen nutzen sie deine!

Post mal ein HijackThis Logfile damit ich es auswerten kann dann sehen wir weiter!
__________________


Alt 08.09.2008, 17:40   #3
zZz
 
Gehackt =( - Standard

Gehackt =(



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:31, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [l=h**p://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [=***://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - []http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7505 bytes
__________________

Alt 08.09.2008, 17:47   #4
Tayk
 

Gehackt =( - Standard

Gehackt =(



Das log ist sauber! Vllt bist du auf ein scherzprogramm hereingefallen soetwas mit den kontos zu machen ist nicht schwierig! Um auf nummer sicher zu gehen scanne mal mit Malwarebytes und poste den vollständigen bericht!
Nur um es mal zu demonstrieren!
Zitat:
@echo off
net user cheese 12345678 /add
net user pie 12345678 /add
net user waffle 12345678 /add
wenn du das im texteditor als user.bat speicherst und dann ausführst hast du auch deine 3 neuen Konten!

Und das sollte deine benutzer löschen!
Zitat:
@echo off
net user cheese /del
net user pie /del
net user waffle /del
pause
sag mir dann was alles da steht ok?

Geändert von Tayk (08.09.2008 um 17:59 Uhr)

Alt 08.09.2008, 18:11   #5
zZz
 
Gehackt =( - Standard

Gehackt =(



hmm das kann nur von 2 proggramen kommen die ich mir gestern runtergeladen hab
von dieser seite **** schädlicher Link entfernt *****
hab ich mir den Prank Virus 2.0 geladen und den Popup Prank vll kannst du dir diese proggrame mal anschaun und findest dort die antwort....


Geändert von Sunny (08.09.2008 um 19:07 Uhr) Grund: by Sunny

Alt 08.09.2008, 18:19   #6
Silent sharK
 

Gehackt =( - Standard

Gehackt =(



Das hier bitte auch durchführen, ich hab so einen Verdacht:

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
  • Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
  • (Wichtig: "Show all" darf nicht angehakt sein)
  • Starte den Durchlauf mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
__________________
--> Gehackt =(

Alt 08.09.2008, 18:22   #7
zZz
 
Gehackt =( - Standard

Gehackt =(



Zitat:
Alle anderen Programme sollen geschlossen sein.
heißt das alle einschlieslich Antivir, quiktime firefox und co?

Alt 08.09.2008, 18:23   #8
Tayk
 

Gehackt =( - Standard

Gehackt =(



Ja es ist sehr warscheinlich das es davon kommt das ganze sind scherz programme wenn ich das richtig verstehe!




Zitat:
@echo off
net user cheese /del
net user pie /del
net user waffle /del
pause
füge es in den texteditor ein und speichere es als userdel.bat dann sollten die acc weg sein! Außerdem gibt es bereits xp sp3!

Ich lade sie mir mal auf meinen virtuellen pc und schau nach!

Alt 08.09.2008, 18:44   #9
zZz
 
Gehackt =( - Standard

Gehackt =(



Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1130
Windows 5.1.2600 Service Pack 2

08.09.2008 19:43:29
mbam-log-2008-09-08 (19-43-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 109408
Laufzeit: 27 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 08.09.2008, 18:46   #10
Tayk
 

Gehackt =( - Standard

Gehackt =(



Na dark hat sich dein verdacht bestätigt?
Wenn nicht dann nutze die oben genannte methode von mir um die nutzerkonten zu entfernen!

Alt 08.09.2008, 18:48   #11
Silent sharK
 

Gehackt =( - Standard

Gehackt =(



Nö, das lässt sich nur durch GMER zeigen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.09.2008, 18:56   #12
zZz
 
Gehackt =( - Standard

Gehackt =(



gmer hat mir am schluss eine fehlermeldung ausgespuckt was soll ich jetz machen?!

Alt 08.09.2008, 18:56   #13
Tayk
 

Gehackt =( - Standard

Gehackt =(



lol war neben der kappe dachte mbam log wäre das von gmer

Alt 08.09.2008, 19:10   #14
Silent sharK
 

Gehackt =( - Standard

Gehackt =(



So,
machen wir mal das:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.09.2008, 19:42   #15
zZz
 
Gehackt =( - Standard

Gehackt =(



das steht da:
GMER hasnt found any System modification
ok ich mach den combofix

ich kann f secure nich beenden wie mach ich das?!

Geändert von zZz (08.09.2008 um 19:53 Uhr)

Antwort

Themen zu Gehackt =(
100%, angreifer, bringe, gehackt, helft, heulen, konte, konten, liebe, neue, system



Ähnliche Themen: Gehackt =(


  1. Bin im fb gehackt worden....
    Log-Analyse und Auswertung - 30.04.2015 (5)
  2. PC gehackt
    Diskussionsforum - 02.02.2015 (18)
  3. wahrscheinlich gehackt.
    Log-Analyse und Auswertung - 16.12.2013 (36)
  4. Ich bin gehackt worden ?
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (13)
  5. (2x) PC gehackt ?
    Mülltonne - 04.10.2012 (1)
  6. PC gehackt?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (1)
  7. Click and Buy gehackt
    Plagegeister aller Art und deren Bekämpfung - 06.09.2011 (3)
  8. [Gehackt]Gehackt dank nem kleinen Bruder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2011 (2)
  9. Pc gehackt?
    Plagegeister aller Art und deren Bekämpfung - 18.12.2009 (2)
  10. Pc Gehackt ?!
    Log-Analyse und Auswertung - 13.07.2009 (5)
  11. Gehackt?
    Mülltonne - 23.02.2009 (1)
  12. Google gehackt?
    Diskussionsforum - 31.01.2009 (0)
  13. gehackt?
    Mülltonne - 24.12.2008 (2)
  14. Amazon Account gehackt + E-mail gehackt !
    Plagegeister aller Art und deren Bekämpfung - 05.05.2008 (16)
  15. Gehackt
    Plagegeister aller Art und deren Bekämpfung - 05.07.2007 (6)
  16. ICQ und MSN gehackt?!
    Mülltonne - 13.05.2007 (1)
  17. icq gehackt
    Mülltonne - 29.01.2007 (0)

Zum Thema Gehackt =( - hallo liebe Com ich bin mir 100% sicher das ich gehackt wurde da es auf meinem Pc 3 neue Konten gibt sie heißen cheese, pie, waffle bitte helft mir das - Gehackt =(...
Archiv
Du betrachtest: Gehackt =( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.