Hilfe wurde gehackt!!!
 

Hi freunde der Sonne heute um halb 6 wurde ich gehackt! Als erstes hat sich der Editor geöffnet und da schrieb dann der Depp! weißt du wie mein richtiger Name ist? Und hallo!
Die Wörter sind so erschienen wie bei Matrix ganz am anfang die Szene wo Neo vorm PC sitzt!Die Buchstaben einzeln

Ich hatte einen verdacht wer das ist! Dann schrieb ich wenn du das bist (hier stand der Name) gibt es feuer! (er sagt aber er war es nicht)

Dann ist noch was gekommen aber ich hatte schon voll panik!Also Editor ausgemacht und in ICQ die verdächtige Person angeschrieben! Auf einmal hat der Hacker in das ICQ Feld wo ich eigentlich reinschreibe geantwortet ! Ob ich keinen spaß verstehen würde? Auch hier konnte ich sehen wie er jeden einzelnen Buchstabe eintippt! ICQ ging dann aus! Der Bildschirmhintergrund wurde auch verändert! Hier Stand dann im Matrix Hintergrund Hacked by NeoX

Ich dann Router Stromkabel raus und PC resetet! So Kabel wieder rein und wieder meine verdächtige Person angeschrieben! Wieder dasselbe er schrieb in mein Textfeld rein wo ich eigentlich meinen Text vor dem abschicken reinschreibe! Diesmal mit sama (hier der verdächtige Name) warum bist du denn so böse da müssen wir aber was ändern!
Er wollte weiter schreiben aber da war mein Router Stromkabel schon draußen! Bildschirmhintergrund war schon wieder verändert! Nach dem Neustart war wieder mein richtiger da!


Mein PC ist durch die Firewall vom Router geschützt durch die Kaspersky Firewall und durch Kaspersky selber! Kaspersky hatte auch nix gefunden! Bin grad mit einem andern PC Online!

Habe auch voll panik das der an Daten von mir dran gekommen ist

Hoffe einer kann mir helfen!

Geh mit diesem System vorerst nicht mehr ins Internet, trenne am besten physikalisch die Verbindung (Kabel ziehen...).
Übertrage Hijackthis per Diskette oder so auf den Rechner (vorher die hijackthis.exe z.B. in hjt.com umbenennen) und auf der gehackten Kiste ein Log erstellen - dieses hier posten.

Nur um mal zu sehen, durch was der Cracker raufgekommen sein kann, auf ein Neuaufsetzen wirds wohl eh hinauslaufen.

Ok evtl. kann ja hier mir einer mehr helfen! Andere Boards konnten das nicht so!
Der log scheint ganz ok zu sein außer diese desktop(2).ini könnte was schlimmes sein! Ich bekomme sie auch nicht gefixt auch nicht im abgesicherten Modus! Auch über die Windows suche wird diese Datei nicht gefunden!

So noch was gefunden!!! Unter c ist was gespeichert worden! Ein Textdokument mit dem Name Wichtig von Neo X an Neo X! Inhalt ist sama was klaust du mir eigentlichen meinen name??
Dann ist nach ein bild gespeichert worden eine Bitmap datei wo der Hintergrund von ihm drauf ist! Hacked by NeoX

Aber hier erstmal das log!

Logfile of HijackThis v1.99.1
Scan saved at 07:47:24, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\ATI Tray Tools\atitray.exe
E:\Kaspersky Anti-Hacker\KAVPF.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\hjt.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] "E:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "E:\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = E:\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108w.bay108.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179073718078
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe

Hallo Peter.

Hast du nach der Desktop.ini wie in meiner Signatur beschrieben gesucht??

Gruß

Undoreal

Ne so machte ich das nicht! Hat jetzt was gefunden! Ich denk ja mal löschen oder?

Nicht wenn du wissen willst was auf deinenm Rechner los ist. ;)

Lass die Datei mal bei virustotal auswerten und/oder schau mal was in der Datei drinsteht.

lg myrtille

:) wunderbar. danke myrti.

So grad gemacht sind 3 daten und bei keiner wurde ein Virus gefunden!

Ich will wissen wie diese ....... auf mein System drauf gekommen ist!!!

Und vor allem ob er an meine Daten konnte!!

Öffne die Dateien bitte im Editor und hänge sie hier an.

[EDIT] ich würde an deinem System alles unverändert lassen und den Rechner der Polizei übergeben.

mfg

wenn das passiert ist, was Du beschrieben hast, konnte er auch an Deine Daten. Er kann sich alle Deine Dateien auf seinen PC runtergeladen haben.

@undoreal, die Polizei braucht Beweise wie hier beschrieben, ohne sowas ist es sinnfrei.

Hallo,

Wie die sich darüber freuen werden....:rolleyes:

....und seine Hausaufgaben macht er dann in der Polizeidienststelle ,sozusagen unter behördlicher Aufsicht ?:

Da steht was dem Backdoor so alles an Eigenschaften mitgegeben wurde....
Mir würde das ein wenig Angst machen....:Boogie:

Edit.
Ich kann dir auch gerne noch die Liste posten ,der Spiele bzw.Keys für die sich dein Backdoor besonders intressiert.....
Beantwortet das diese Frage ?:rolleyes:
Irrlicht

Bitteschön

1.Datei


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

2.Datei

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

3.Datei

[LocalizedFileNames]
WordPad.lnk=@%SystemRoot%\system32\shell32.dll,-22069
Rechner.lnk=@%SystemRoot%\system32\shell32.dll,-22019
Paint.lnk=@%SystemRoot%\system32\shell32.dll,-22054
Windows Movie Maker.lnk=@C:\PROGRA~1\MOVIEM~1\wmmres.dll,-61424
Scanner and Camera Wizard.lnk=@C:\WINDOWS\system32\sti_ci.dll,-11Ok

Ja an das mit denn bullen dachte ich auch schon nur wird dann mein System über wochen weg sein!!!

desktop.ini oder desktop(2).ini? Ich vermute ersteres, wir wollen letzteres. ;)

die (2) ja

Na gut, das scheinen allerdings ganz normale Dateien zu sein.
Dann würde ich jetzt mal silentrunners durchlaufen lassen, vielleicht sieht man da mehr als im HJT-log.

lg myrtille

Viel spaß damit :(

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AtiTrayTools" = ""E:\ATI Tray Tools\atitray.exe"" ["Ray Adams"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KAVPersonal50" = ""E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"type32" = ""C:\Programme\Microsoft IntelliType Pro\type32.exe"" [MS]
"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS]
"ICQ Lite" = ""E:\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{25BB10D9-49B8-69B4-3A6E-C4044D77D9C4}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\atiamd\svchost.exe s" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "E:\Adobe Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Microsoft Office 2003\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "E:\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]
"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]
"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]
"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"
-> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
-> {HKLM...CLSID} = "Schnurlose Eigenschaften"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
-> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
-> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
-> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"
\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "E:\Adobe Reader\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\7-Zip\7-zipn.dll" ["Igor Pavlov"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar 3.51\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\matrix2.scr" [null data]


Startup items in "*****" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart
<<!>> "desktop(2).ini" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> "desktop(2).ini" [null data]
"Kaspersky Anti-Hacker" -> shortcut to: "E:\Kaspersky Anti-Hacker\KAVPF.exe /silence" ["Kaspersky Lab"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "E:\MICROS~1\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "E:\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "E:\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
kavsvc, kavsvc, ""E:\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
StarWind iSCSI Service, StarWindService, "E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 18 seconds, including 4 seconds for message boxes)

Hi,
bin mit der Sorte Logs nicht wirklich auf du, und würde daher jemand anders bitten auch nochmal drüber zu schauen.
Das einzige was mir aufgefallen ist, ist dieser Eintrag:
Lass daher vielleicht mal die Datei bei virustotal auswerten:
C:\WINDOWS\system32\atiamd\svchost.exe (Dateien sichtbar machen)

lg myrtille

Der Eintrag ist allerdings oberverdächtig, von Lage und Aufbau stinkt das nach einem Backdoorserver.

Ansonsten: Javaversion ist veraltet und die genaue ICO-Version habe ich da nicht ausgemacht. Bei ICQ gabe es doch neulich einige sehr schwerwiegende Sicherheitslücken. Darüber hinaus fällt mir da nicht besonders auf.

Ihr seit die besten! ICQ habe ich die 5.10 drauf!
Virustotal hat jetzt was gefunden!

Ist er zeigz mir verschiedene sachen!

hier die verschiedenen sachen.

a new variant of W32/NewMalware-Mr-T-Inspector!Maximus

MemScan:Backdoor.Bitfrose.NQ

Banker.gen4

Backdoor.VB.EV

Backdoor-CEP.svr

Vipre.Suspicious

Heuristic.Crypted

So wie geht es jetzt weiter???

Mir wurde eigentlich immer gesagt das Kaspersky eines der besseren Anti Virus Programm ist aber das ist ja bei mir drauf und es findet es nicht

Folgenden Eintrag finde ich bei der Problembeschreibung in die ein oder andere Richtung verdächtig/verwunderlich:

* HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\matrix2.scr" [null data]
*

PS:
Warum denn nicht zur Polizei? Die Beweise sollten sich doch finden lassen. Das die sich freuen ist mir schon klar aber wenn jemand euer Auto klaut geht ihr doch auch zur Polizei um den Kerl an den Arsch zu bekommen oder? Hmm ich weiss auch nicht. Solche Penner kommen halt viel zu oft davon..

Ne das ist schon ok! Mein Screensaver ist von Matrix!

-ich weiss-



beide matrix fans?

ob sie Beweise finden, die verwertbar sind, wenn sie denn suchen, obwohl ja der, der ne Anzeige macht, die Beweise liefern muß, sehr fraglich.:rolleyes:

aber vielleicht finden sie ja "gefundene" Software. das wäre dann aber sehr dumm und könnte derbe nach hinten los gehen.:eek:

have fun,
Heike :teufel3:

Ka ich schon! Der anscheint auch! So der mist ist ja jetzt gefunden! Unter deinem ersten Beitrag von eben steht ja was er gefunden hat

Wo hat Virustotal das Zeug gefunden? Und vorallem wie? Welche Dateien hast du durchsuchen lassen usw..

Neuaufsetzten musst du allerdings eh.!.

Gruß

Undoreal

Das machte ich

wow finde ich cool (sorry peter) aber das ist doch endlich mal was wenn der hacker moin moin auf deinem rechner zu dir sagt - meine da weis man was man hat - nicht so wie die anderen viren/trojaner wo es immer heisst böse böse unbedingt neuaufsetzen aber passieren tut eigentlich so gut wie nie was.

kommt jungs was soll ich jetzt mach machen? Das drecktsteil ist doch jetzt gefunden!!!

@Peter
Damit sind wir jetzt am Punkt, an dem du entscheiden musst was du tun willst: (daher melden wir uns nimmer ;))
Entweder du behältst den Rechner so wie er ist und zeigst ihn der Polizei. Wenn die ihre "Beweise" gesammelt haben, kannst du den Rechner neuaufsetzen.
Oder du setzt den Rechner direkt neu auf und verzichtest auf eine Anzeige.
Persönlich würde ich aber zur Polizei gehen, nicht das du in nem halben Jahr ne Anzeige wegen Vertreibung von illegalem Bildmaterial am Hals hast, weil der Backdoor bei dir, solange er aktiv war, nen Server aufgebaut hatte und über deinen Rechner Sachen vertrieben hat.

@Alex
Meistens passiert "nichts", weil es für den Benutzer der Backdoor ökonomisch sinnvoller ist monatelang einen Server auf deinem Rechner laufen zu lassen, anstatt 10 Minuten lang Spass mit dir zu haben.
Wenn du aber ein wenig suchst, dann wirst du auch hier im Forum genügend Leute finden, denen Ähnliches passiert ist, bei denen die Polizei zu Besuch war oder denen der Provider gekündigt hat, weil sie zuviel Spam versandt haben.
Die Leute sind dann meistens ziemlich verzweifelt (insbesondere wenn die Polizei da war :o) und versuchen im nachhinein ihre Unschuld zu beweisen. Die hätten sich sicherlich gefreut, wenn ihnen früher mal jemand gesagt hätte, dass sie neuaufsetzen müssten.

Sprich alles was Peter passiert ist und noch vieles mehr könnte auch jedem anderen "Besitzer" eines Backdoortrojaners passieren. Daher empfehlen wir eine Neuinstallation.

lg myrtille

Ok also einfach löschen bringt rein gar nix?

Jetzt sagt mir aber bitte das ich nur C.platt machen muss?? Oder auch D und E?

Ich weiß nicht ob es was bringt! Aber die svchost datei wurde am 3.7.2007 um 7.39 Uhr erstellt! der hacker hat sich dann um 17.30 Uhr des gleichen Tages gemeldet!

Sorry das ich da nicht so fit.bin! Aber wie ist diese Datei auf mein system gekommen? Und warum hat mein Anti Virus nicht aufgemuckt?

Da ihr ja jetzt wisst was für einer es war kann man doch jetzt auch zu 100% sagen ob er an meine daten konnte oder nicht?

Kann er. Mit diesem netten Backdoorserver kann er alles auf dienem Rechner tun, was Du tun kannst. Vermutlich mehr, wenn er mehr Ahnung von Windows als Du hast. Vor direktem Zugriff wären nur Daten sicher gewesen, die verschlüsselt abgespeichert sind und bei denen Du das zur Entschlüsselung erforderliche Passwort nicht eingegeben hast, seitdem der Zugriff bestanden haben kann. Alles andere konnte er zugreifen und ändern. So hatte er auch Gelegenheit noch irgendwas anderes in dien Windowssystem einzubauen, was es ihm später ermöglichen wird, erneut auf das System zuzugreifen. Muss nicht sein, dass das passiert ist aber möglich ist es.

Ok also Win neu machen!!! Nur C? (bitte sagt ja)

Wie mach ich es am bestern das nix mehr kommen kann? PC aus-Win CD rein und starten und hinweise befolgen? Oder etwas anderes?

Das ist das Problem einer Backdoor: Ist sie erst einmal offen kann keiner mehr nachvollziehen was mit deinem System gemacht wurde.
Ein Trojaner als solches ist ein Programm, da kann man mehr oder weniger sicherstellen was er tut. Gibt es eine Hintertür, über die ein Mensch an den Rechner gelangt ist (wie es hier ja offensichtlich der Fall ist) weiß nur die Person selbst was sie auf deinem Rechner gemacht hat.
An deine Daten rangekonnt hätte sie sicherlich, ob sie dran war? Keine Ahnung.
(Das schrieb dir Heike allerdings auch schon weiter vorne ;))

Meistens reicht es die C-Platte platt zu machen, allerdings bleibt da natürlich ein gewisses Risiko, dass der Trojaner auf den anderen Platten überlebt und erneut ein Hintertürchen öffnet. Das musst du abwägen, aber ich würde wahrscheinlich alles plattmachen, da ich allerdings auch zur Polizei gehen würde, wirst du diese Entscheidung ebenfalls selbst treffen müssen. ;) Wir scheinen nicht einer Meinung zu sein. ;)

Was die Hintertür angeht: Normalerweise installiert man sich sowas mithilfe von codecs, cracks, geklauten Programmen, Emailanhängen, Dateien ausm messenger und gelegentlich, wenn man das System nicht up-to-date hält können sie sich auch ganz alleine installieren. Was da passiert ist wirst du selbst überlegen müssen.
Einige Varianten von Bifrose können übrigens auch Passwörter uÄ klauen, die würde ich also nach der Neuinstallation sicherheitshalber auch ändern.

Ok also Win über die CD neu installieren? Oder irgend noch was bestimmtes machen? Auf D und E hätte ich zu 90% alles gesichert also wären die eh wieder drauf gewessen!

So aber eine frage noch! Mein System war immer up to date! Alles Updates drauf!
Welches Anti Virus sollte ich besser drauf machen anstatt Kaspersky oder hat das damit nix zu tun?


Ne zu de Bullen geh ich nicht da hast du recht!!!

In meiner Signatur finden sich zwei Links. Einen zum Neuaufsetzten und einen zur Systemsicherheit. Wenn du beide befolgst dann surfst du in Zukunft relativ sicher.

Solange du brain1.0 auch immer schön up to date hältst!

Kaspersky ist m.M.n. das beste AV-Prog was es gibt. Daran liegt es bestimmt nicht! Allerdings hattest du auch "nur" Anti-Hacker drauf oder? Die neue IS7.0 ist sehr gut.

lg

Ja aber warum sagte es mir nix! virustotal. com findet ja auch was? Selbst wenn ich mit Kaspersky auf die Datei geh sagt er nix?

Welche Version von Kav benutzt du denn überhaupt? Und selbst wenn es die Neueste wäre dann erkennt ein AV-Scanner meinen Schätzungen nach vielleicht 60% aller Schädlinge. Wenn überhaupt! Und bei komplizierten Infektionen wie Backdoors oder Rootkits verkleiner sich die Wahrscheinlichkeit nochmal um einiges.

So bin grade am sichern! Kann ich irgend wie meine Favoriten vom IE 6 sichern? oder sollte man das lieber nicht machen?

schreib sie dir doch schnell ab ;)

Du könntest dir auch Firefox laden, deine Favoriten in Firefox exportieren und bei firefox deine Favoriten speichern. :p

Was direkteres fällt mir auf Anhieb allerdings auch nicht ein. Ich kenn mich mit IE aber auch gar nicht aus.

lg myrtille

So win ist drauf und PC wird jetzt geschützt wie er noch nie war!!!

sehr gut.

versuche PEBKAC möglichst auszuschließen, eine oft unterschätzte Fehlerquelle, der Bifrost-Server ist nämlich auch nicht auf den PC geflogen, den hast Du Dir installiert. ;)

Nochwas was sollte ich am besten als Firewall und Anti virus draufmachen???

Du hattest Kaspersky, eines der leistungsfähigsten Programme weit und breit.
Hat es eine Infektion verhindert? Nein.
Ein AV-Programm und eine Firewall sind nur Hilfsmittel. Verlassen darf man sich auf sie nicht, sondern man muss schon selbst darauf achten, was man tut, wie man sich im Internet bewegt, was man auf seinen PC lässt und was nicht.

ja klar aber ganz ohne sollte ich wohl kaum online gehen!!!

Dann bleib bei Kaspersky, und aktiviere die Windows-Firewall.
Übrigens, direkt nach Kaspersky kommt Firefox (oder Opera). Der Internet Explorer wird in den Safer-Surfen-Rankings eher selten aufgeführt. :cool:

edit: Als gute, kostenlose Alternative gilt AntiVir PE Classic von Avira.

@Peter09

Falls Du Kaspersky weiterhin als Virenschutz nutzen willst und Deine Lizenz noch gültig ist, kannst Du kostenlos das Upgrade machen.:)
Upgrade auf Version 6
Bitte lesen
upgradeauf6

Bei Upgrade auf Version 7 gilt das hier
Aktivierung
Bitte Punkt 5 beachten

Gruß cad


Edit: Bei Computerbild Versionen gilt das hier
Kaspersky Lab Forum -> FAQ Computerbild Kaspersky Version

Hallöle Peter. Ein Kaspersky Update wie cad es beschreiben hat empfhele ich dringend. Lizens muss immer aktuell sein denn ohne aktuelle Signaturen kannst du das Av-Prog auch gleich abschalten.

Guck mal im Thread http://www.trojaner-board.de/39711-w...nutzt-ihr.html nach.. und vergiss nebs FireFox auch einen sicheren Mail-Clienten wie Thunderbird nicht! Auf keinen Fall Outlook verwenden.

Gruß

Undoreal

Nochmal zu sicherheit das im mom nix drauf ist! Bitte ich nochmal um eine auswertung!!!

Firefox ist drauf und auch ein eingeschränktes Benutzenkonto wird jetzt nur noch zum surfen benutzt!!!

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"" ["Kaspersky Lab"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe"" ["Nero AG"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 18 seconds, including 5 seconds for message boxes)

Hi,
mE sieht alles sauber aus. Silentrunnerlog sollte auf jedenfall ok sein. :)


lg myrtille

Hast du nach Anleitung Neuaufgesetzt? Dann KANN da nichts schädliches drauf sein!

PS: *gg* das ging aber schnell...

{solltest nicht so viel cracken; dann holt man sich auch keinen Bifrose auf den Rechner ;) }


lg

Undoreal

Ist heute bei uns im MM für 29€ im angebot!!! Immer diese unterstellungen

:) ok ich nehm's zurück! :knuddel:

Ging aber echt schnell.. ^^ :party:

lg

Undoreal

So noch eine frage!!! Was meinst du mit Brain 1.0????

:) Zum Nachlesen

Brain.exe - Die Rundumlösung für viele Probleme


Gruß cad

Aso danke!

Ist das denn besser als Kaspersky Internet Security 7.0?

ich verwende seit über 3 Jahren ausschließlich brain.exe und bin nicht infiziert gewesen. Eine wirklich durchdachte Lösung um den Gefahren im Internet gut geschützt zu begegnen.

have fun,
Heike :teufel3:

Na, gelesen hast den Artikel aber nicht wirklich oder? :)

:Boogie: ich lag vorhin unter dem Tisch! So viel Spaß hab' ich in diesem Board.. :aplaus:

Hab' mich aber nicht getraut was zu posten denn vielleicht ist die Frage ja sogar Ernst gemeint..?..

So hat Heike das jedenfalls verstanden..

Ansonsten trifft wohl eindeutig Punkt 2 des Downloads zu..

@undoreal: Warum groß drüber lachen, ein einfaches "Ja" als Antwort hätte schon gereicht... :blabla:

Dann dreht der TO noch durch.. :blabla: :blabla: ^^

Aber man kann brain.exe UND Kaspersky einsetzen...ja ganz recht, zwei "Virenscanner" gleichzeitig! :blabla:

Ja!

jetzt wird'S hier richtig dreckig.. :heilig:

wobei sich dann Kaspersky mit einer eigentlich überflüssigen Nebenrolle zufrieden geben muß. :Boogie:

naja. Eine Meinung. Aber es gibt auch immer noch Schädlinge die ohne Eingriff des Benutzers auf das System gelangen können. Auch mit SP2, toller Hardware FW etc. etc. blabla

und es gibt immer noch Schädlinge, die undetected vor Kaspersky sind. :rolleyes:

no risc, no fun, und das größte Risko für den PC is eh PEBCAK :teufel3:

Falls du noch in deinen eigenen Thread schaust^^ Ich kann dir nur Avast empfehlen. Es hat bei mir bis jetzt, nach 2 Jahren, noch keinen einzigen Virus durchgelassen. Es stoppt die Viren schon beim Download und trennt sogar die Verbindung wenn die Viren auf einen Website eingebettet sind!!! Also Avast ist echt TOP :daumenhoc

Jup, siehe z.B. hier :D