Hi Leute!
Gestern hat sich auf einmal ein kleines Chatfenster geöffnet! Derjenige hat einige Zeilen geschrieben, dann startete mein Pc neu und ich konnte keine Einstellungen mehr vornehmen! Der Bildschrim war bis zur hälfte nach rechts verschoben ich sah also nur die häfte! Die Auflösung hatte sich auf 640 X 480 verstellt! Ich kam weder in die Anzeigeneigenschaften noch in irgendwelche anderen Programme rein, da immer wenn ich eins öffnen wollte der Bildschirm "öffnen mit" erschien! Darin war zwar das Prog gelistet lies trotzdem aber nicht öffnen! Also musste ich formatieren! Nun funktioniert zwar alles wieder trotzdem beunruhigt mich die Tatsache, dass alle Dateien auf 200GB Hdd unter eigenschaften den letzenzugriff von gestern aufweisen! Was hat dies zu bedeuten?
gruss, ickz

Hallo,

erst mal ganz ruhig und auf dem Rechner ein HijackThis Log erstellen, dieses dann am besten Mittels eines anderen Rechners posten. In meiner Signatur ist eine Anleitung verlinkt.

Gruß

Schrulli

Hi!
Also ich bin relativ ruhig! Wie schon gesagt, hab ich gestern formatiert und nun läuft wieder alles stabil jedenfalls hab ich weder eine nachricht bekommen noch hat meine (neue) firewall irgendwas gemeldet oder zeigt ungewöhnliche connections auf dem activity monitor an ! hier trotzdem mal dieser log! ich hoffe ich hab alles richtig gemacht ;-)

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:40:29, on 02.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.partyshot.net/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
         

Hallo,

den Rechner mit Service Pack 2 und allen dannach erschienen Updates auffrichen.

Wenn Du dies nicht kennst, fixen und den Ordner C:\Programme\PartyGaming löschen:


O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

In meiner Signatur findest Du eine Anleitung zum Neuaufsetzten, lies diese und prüfe ob Du sie umgesetzt hast.

Gruß

Schrulli

HI! Ja das prog kenne ich soweit, ich habe trotzdem mal gelöscht erst in unter software und dann in dem oben genannten prog!
die anleitung zum Neuaufsetzen habe ich soweit denke ich richtig gemacht! Um sicher zu gehen:
ich hab nachdem der vorfall passiert war den inetstecker gezogen! xp cd rein partition gelöscht (nur die C die hdd besteht aus 2 partitionen und dann hab ich noch eine 3. kleine hdd
neue partition erstellt formatiert einschließlich prüfung und dann das os neu drauf! anschließend den inetstecker wieder rein av und firewall installiert!

Hallo,

ganz wichtig wäre es gwesen, den Rechner vor dem ersten Internetkontakt auf einen aktuellen Patchstand zu bingen, daher dies bitte jetzt nachholen und einen Onlinescan des Systems vornehmen.

Gruß

Schrulli

Hallo!
Ich weiß nicht warum aber ich benutze erst seid ein paar wochen sp2 und komischerweise hat sich jetzt erst nen trojaner eingefangen... allerdings werde ich den rat wohl trotzdem befolgen!

weiterhin würde ich immernoch gerne wissen, wieso alle Dateien außer die die auf dem Desktop waren den letzen Zugriff von gestern aufwiesen? Wurden alle daten kopiert? Das wäre bei über 200gb schier unmöglich in der Zeit oder was wurde da veranstaltet?!
mfg

PS: nachdem der typ meinen rechner neustarten lassen hat und eigentlich alles übern deistern war, hatte auch anti vir endlich etwas erkannt! ich kann mich nur noch an eine cia.exe datei errinern ?! kann damit jm. etwas anfangen? mfg

Hi,
schau mal bei google unter "cia commander".
Dieses Tool ist eigentlich für was anderes gedacht. Aber man kann auch....
cacatoa

Hi ich glaube nicht das es das war... AV hat auch nen trojaner gemeldet nach dem neustart... außerdem denke ich das der typ auch meinen screen bei sich hatte. als das passiert ist habe ich gerade nen game gespielt und er meinte er wäre einer von den mitspielern und hat mir auch nen namen von einem gesagt der zutraf! alles seltsam! kann ich denn damit rechnen das er meine ganze hdd kopiert hat oder was soll ich damit anfangen das alle dats das gleiche letze zugriffsdatum haben?! mfg

SO wie du dsa ganze beschreibst ist es nicht wirklich zut´reffend .. habe ich noch nie gehört dass jemand es so abstrakt durchführt ...

Ein Hacker will "still und heimlich" Schaden anrichten.
Ich glaube auch dass es sich hierbei um einen Remote-gesteuerten Commander handelt.

Damit hätte er:
A. Deinen Screen verfolgen können
B. Ein infiziertes File auf deinen Rechner kopieren können
C. Deinen Computer Neustarten können

Ist so simpel wie's klingt .. das hättest selbst du geschafft

Und wenns sich bei demjenigen um den Serveradmin handelt, isses auch kein Problem für ihn deine IP einzusehen ... Ohne große Umwege eben

Achja .. SP1 = Mögliche Ursache für das leichte "eindringen"!

mfg,
Markus

Hi! An SP1 lags nicht! Ich hatte bis zum formatieren SP2 drauf! Was bedeutet das denn nun genau? Kann ich mit irgendetwas rechnen oder hat der sich einfach nen Spaß drauf gemacht mich etwas zu ärgern paar daten ausm sys ordner oder so zu löschen damit ich formatieren muss? Oder was hat es nun damit aufsich, dass alle dateien ,außer die die auf dem Desktop waren, den gleichen letzen Zugriff aufweisen?!
mfg

Ein echter Hackagnriff?


WOW!

Zitat:

Zitat von Moonfox

Ein echter Hackagnriff?


WOW!

das ist echt eine sehr konstruktive antwort nicht schlecht

kann mir sonst noch jm. sagen was ich nun am besten tun kann oder was es mit den dateien aufsich hat die alle das gleiche zugriffsdatum haben?