Servus Leute!

Ich hab schon viel erlebt, aber sowas noch nie -_-

Ich hab meinen Rechner über Nacht laufen lassen und nun komm ich wieder und finde ein sehr komisches Windows wieder.
Es sieht fast aus wie beim Abgesicherten-Modus und als Hintergrund war ein komisches Bild eingestellt mit ein paar "Soldaten" mit Masken und drüber stand: Dein System wurde zerfikkt von Hellboy! Viel Spaß noch in deinem weiteren Leben. Ich hab das Bild mal angehängt. Im Startmenü wird bei "Alle Programme" nur "Autostart" angezeigt. Die Dateien auf all meinen Partitionen außer C:\ wurden gelöscht und auf diesen Partitionen gibt es jeweils den Ordner "RECYCLER" darin sind ein paar Papierkorb-symbolartike Dateien und ein Ordner "NProtekt", worin viele Dateien liegen. Dazu hab ich auch noch ein Bild angehängt.
Beim Neustart kommt beim Booten die Fehlermeldung:
Fehlerhafte Datei BOOT.INI
Starten von C:\windows\.

Ich habe auch gleich mal ne HJT-Logfile gemacht, aber bin mir nicht sicher ob mir das weiterhilft.

Logfile of HijackThis v1.99.1
Scan saved at 12:14:56, on 24.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\windows\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Eset\nod32krn.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6B93549A-B1BE-1E3C-1012-E89227972243} - C:\DOKUME~1\Matze\ANWEND~1\Mp3Logo\Lies Proxy.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Synchronization Agent] "C:\Programme\Sync Manager\agent\syncagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [stupid setup] C:\DOKUME~1\Matze\ANWEND~1\INTERN~1\Curb Way Poll.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Windows Update (wupdmg) - Unknown owner - C:\Programme\WindowsUpdate\wupdmg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Ich versuch jetzt mal mit ner Dateirettung noch was zu retten, ich hof das klappt.
Ich hoffe ihr könnte mir weiter helfen, denn ich dreh bald durch!

Danke

Hallo,

dein System befindet sich in fremder Hand
-> O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Windows Update (wupdmg) - Unknown owner - C:\Programme\WindowsUpdate\wupdmg.exe
Das sind mögliche aus dem Log ersichtliche Einfallstore.
Ich kann dir deshalb nur zum kompletten Neuaufsetzen des Systems raten, weil es zum Einen nur dann wieder rund laufen und zum Anderen wieder dir gehören wird.
Beachte dazu auch das.

Zitat:

# System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
# Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ''Dialer'' installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.
# Feststellen welcher Art die Kompromittierung war und auf welchem Wege das System kompromittiert wurde.
...