Gehackt =(
 

hallo liebe Com
ich bin mir 100% sicher das ich gehackt wurde da es auf meinem Pc
3 neue Konten gibt
sie heißen cheese, pie, waffle
bitte helft mir das ich den angreifer wieder aus meinem system bringe:heulen:
danke

Ich glaube zwar nicht das du gehackt im eigendlichen sinne bist denn hacker gehen ganz sicher nicht mit so offensichtlichen dingen vor! Wenn sie rechte brauchen nutzen sie deine!

Post mal ein Hijackthis Logfile damit ich es auswerten kann dann sehen wir weiter!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:31, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [l=h**p://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [=***://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - []http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7505 bytes

Das log ist sauber! Vllt bist du auf ein scherzprogramm hereingefallen soetwas mit den kontos zu machen ist nicht schwierig! Um auf nummer sicher zu gehen scanne mal mit Malwarebytes und poste den vollständigen bericht!
Nur um es mal zu demonstrieren! wenn du das im texteditor als user.bat speicherst und dann ausführst hast du auch deine 3 neuen Konten!

Und das sollte deine benutzer löschen! sag mir dann was alles da steht ok?

hmm das kann nur von 2 proggramen kommen die ich mir gestern runtergeladen hab
von dieser seite **** schädlicher Link entfernt *****
hab ich mir den Prank Virus 2.0 geladen und den Popup Prank vll kannst du dir diese proggrame mal anschaun und findest dort die antwort....

Das hier bitte auch durchführen, ich hab so einen Verdacht:

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

heißt das alle einschlieslich Antivir, quiktime firefox und co?

Ja es ist sehr warscheinlich das es davon kommt das ganze sind scherz programme wenn ich das richtig verstehe!




füge es in den texteditor ein und speichere es als userdel.bat dann sollten die acc weg sein! Außerdem gibt es bereits xp sp3!

Ich lade sie mir mal auf meinen virtuellen pc und schau nach!

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1130
Windows 5.1.2600 Service Pack 2

08.09.2008 19:43:29
mbam-log-2008-09-08 (19-43-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 109408
Laufzeit: 27 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Na dark hat sich dein verdacht bestätigt?
Wenn nicht dann nutze die oben genannte methode von mir um die nutzerkonten zu entfernen!

Nö, das lässt sich nur durch Gmer zeigen.

gmer hat mir am schluss eine fehlermeldung ausgespuckt was soll ich jetz machen?!

lol war neben der kappe dachte mbam log wäre das von gmer :D

So,
machen wir mal das:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

das steht da:
GMER hasnt found any System modification
ok ich mach den combofix

ich kann f secure nich beenden wie mach ich das?!

F Secure Menü öffnen und den Hintergrundwächter beenden.
Was ist daran so schwer?
Sonst temporär deinstallieren..

hmm das würd ich gerne,
aber f secure lässt sich einfach nich beenden und temporär deinstallieren kann ich auch nich da ich es danach nich mehr Installieren kann da f-secure vorinstalliert war.
somit habe ich keine CD davon.

Hast du für F-Secure bezahlt?
Wenn nicht, deinstallier es und nimm stattdessen eine kostenlose Alternative, am besten Avira AntiVir.

nö hab nich dafür bezahlt aber habs jetz einfach ganz anders gemacht und das einfach aus dem schnellstart rausgenommen hab nun meinen pc neu gestartet und schon war es nich mehr da ich mach jetz die combofix sache ma schaun ob du damit mehr anfangen kannst
hoff ich zumindest =)

Wird schon schiefgehn, heißt es immer. :p
Wenn's nicht gegangen wär, hätt ich schon ein weiteres Ass im Ärmel gehabt, als CF-Alternative.

Ich glaub zwar immernoch nicht das es was ernstes ist aber ma sehen! Weil ich hab noch nie von nem richtigen schadprogramm gehört das sich so offensichtlich verrät durch das erstellen neuer benutzer konten!
Ma sehen was combofix ausspuckt ;) da bin ich schon gespannt!

Oo Combofix is ma ein richtig böses tool das hat meinen PC auf eigenartige weiße zum
piepen gebracht... und FF is nich mehr standart Browser naja hoffentlich hilft es auch wenn es schon solchen Trubel veranstaltet
hier der log

Steht auch im Leitfaden, also ist das normal.
Wie gehts deinem Rechner?

wie meinste *wie gehts deinem rechner*?
soweit ganz gut nur meine frage bleibt
was is mit ihm los das da so komische Konten auftauchen?

Normal würde ich da zu Gromozom oder Rustock tippen, die hast du aber nicht.
Sind die Konten denn noch da?
Wenn ja, sind die mit eingeschränkten Rechten oder mit Adminrechten?
Sind sie Passwortgeschützt?

sind noch da
eingeschränkt
nicht passwort geschützt

Hat sonst jemand ein Zugriff auf den Rechner?

ne
hab ja vorgstener extra passwort geändert damit eben meine schwester nich mehr ran kann

War sie schonmal dran?
Hat sie evtl. die Konten angelegt?

Auf jedenfall wurden sie nich von Malware angelegt, das hätte ComboFix erkannt.

klar war sie schon ma drann
aber nein die konten kahmen erst nachdem ich das passwort geändert habe also stammt es nich von ihr
kannst du auch ausschließen das ich gehackt wurde?

Hast du denn einen Router?

ähmm sorry ich weiß nich was du damit meinst meinst du die fritzbox?

Ok, du hast einen Router. ;)

Also, du bist nicht "gehackt" worden. :juul:

woher kommen diese benutzer konten dann?!
das kann doch nich sein das mein pc sich einfach ma so denkt
ja heute isn schöner tag ich will 3 neue user
das kann doch nich sein

Das kann ich pauschal nicht sagen, ich kann nicht hellsehen.
Wären sie aber von Malware angelegt worden, wären sie bestimmt mit Adminrechten und Passwortgeschützt, sodass du sie nicht löschen kannst.

Die von dir kannst du löschen:
Start => Systemsteuerung => Benutzerkonten

ok hab ich gemacht war wohl von den fake viren angelegt
danke trotzdem für die hilfe
und naja nu bin ich sicher ich hab keine viren =)
kann geclosed und archiviert werden wenn es in dem forum sowas gibt ;-)

Kein Problem ;)

Bis denne :juul:

wenn du noch zeit hast könntest du dann vll noch über den Hijack von meinem laptop drüber schauen ob der auch sauber is? wär nett :heilig:

Das hier:gefällt mir nicht.
Lad es mal bei Virustotal hoch und poste das komplette Ergebnis.

viiiiel rot heißt wohl nichts gutes

Lass MalwareBytes Anti-Malware, sowie SuperAntiSpyware drüberlaufen, dann ist Sense mit dem Kollegen. ;)

ow man das dauert wieder ne runde besonders bei soner lahmen kiste wie meinem lappi
naja malwarebites hat nach 23 minuten schon 9 viren entdeckt die antivir nicht aufgefallen sind
ich nehm das mal zum anlass antivir in die tonne zu kloppen und immer wenn ich am laptop bin malwarebytes laufen zu lassen

mbam log und der andre folgt sogleich

Dem stimme ich zu, Zusatzkonten brauchen die wohl kaum die browsern sich wahrscheinlich so durch.
Das Kerlchen hat sich ja gar nicht so schlecht getarnt.

ow das es soviele werden hätt ich nich gedacht 63 Oo:killpc:

Sind nur Tracking Cookies, kein Grund in Panik auszubrechen. ;)
Achja, an deiner Stelle würde ich die gelbe Pest mit dem Removal Tool entfernen lassen und Avira AntiVir installieren.

hmm kannste mir das ma auf normal deutsch erklären =)
ich weiß nich so richtig was du mit gelber Pest und removal tool meinst =)
und avira hab ich aber nur die free version

Tracking Cookie = verfolgender Cookie

Und die gelbe Pest ist Norton und davon scheinst du was auf deinem Rechner zu haben. ;)
Noch ein Rat für die Zukunft:

Verzichte auf ach so tolle Firewalls wie Comodo, ZoneAlarm, etc.
WinXP Firewall reicht, ebenso der Router.

jo hab nur den xp firewall und ich hab meine proggrame durchgeschaut und hab kein Norton gefunden...
wenn du das im hijack sieht poste bitte den Pfad dazu damit ich das schnell löschen kann

Nutze das Removal Tool.
Google => Symantec Removal Tool

Oder nutze diesen LInk: Link

lg myrtille

danke jetz is die gelbe pest weg =)

Find ich klasse. ;)