Hi,
kann mir jemand helfen , hab die vermutung das sich jemand auf meinem rechner einhackt und hier sachen verstellt wie`s ihm gefällt .


Logfile of HijackThis v1.99.1
Scan saved at 22:26:35, on 20.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\karphunter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kc-clan.at.tc/
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110618425187
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC8B76C-0343-4B98-A73D-ABBBB9FA1B3C}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EC8B76C-0343-4B98-A73D-ABBBB9FA1B3C}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1EC8B76C-0343-4B98-A73D-ABBBB9FA1B3C}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke in vorraus und grüße aus berlin

@DÖF
könntest dein system und IE mal updaten
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

hi chaosman ,
habe alles so gemacht wie du gesagt hast. escan hat 4 infects gefunden !
hatte nur problem mit dem makieren bzw. kopieren der treffer ,sry bin nicht so fit am pc . aber glaube das ich das richtige rauskopiert habe ???
schau mal bitte hier :

Mon Mar 21 12:17:06 2005 => File C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\SecTaskMan\phqghum.exe.q_8041802_q infected by
"Backdoor.WMon
Mar 21 12:49:08 2005 => File C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\SecTaskMan\phqghum.exe.q_8041802_q infected by
"Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action
Taken.in32.Rbot.gen" Virus. Action Taken: No Action TakeMon

Mar 21 13:40:11 2005 => File C:\System Volume
Information\_restore{08DB1C4A-5A99-4D1E-8D34-352421BE3331}\RP32\A0008662.exe
infected by "Backdoor.Win32.Rbot.gen" ViruMon

Mar 21 13:57:49 2005 => File C:\System Volume
Information\_restore{08DB1C4A-5A99-4D1E-8D34-352421BE3331}\RP7\A0002566.exe
infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action
Taken.s. Action Taken: No Action Taken.nMon

Mar 21 13:57:49 2005 => File C:\System Volume
Information\_restore{08DB1C4A-5A99-4D1E-8D34-352421BE3331}\RP7\A0002567.exe
infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken..

habe außerdem noch im security taskmanager folgendes in quarantäne
phqghum.exe sowie snapple.exe diese waren mir vor einigen tagen aufgefallen ! aber keine ahnung was das ist ?
wäre nett wenn dur mir deine meinung zu dem ganzen sagst
danke und grüße aus berlin

Hallo DÖF,

sieht leider nicht gut aus:

http://www.sophos.de/virusinfo/analy...2forboteg.html = snapple.exe
Backdoor.Win32.Rbot.gen = phqghum.exe

Ermöglicht Dritten den Zugriff auf den Computer
Verändert Daten auf dem Computer
Lädt Code aus dem Internet herunter
Reduziert die Systemsicherheit
Installiert sich in der Registrierung

Da beide aktiv waren, wird Dir dringend zu "Format C:" geraten, um wieder ein vertrauenswürdiges System herzustellen.

http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030
http://www.trojaner-board.de/showthread.php?t=15124

Hier eine empfohlene Anleitung zur Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung

http://www.trojaner-board.de/showpos...8&postcount=11

Sry
dartus

jo danke an dartus !

könnte heulen , format c is grad 3 wochen her .
aber trotz allem vielen dank für die hilfe an alle experten hier .
sehr hilfreich euer forum und dank euch für die mühe !
grüße aus berlin DÖF