|
Log-Analyse und Auswertung: Finde den Hacker....schwere AufgabeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.03.2007, 00:50 | #1 |
| Finde den Hacker....schwere Aufgabe Hallo zusammen, seit einiger Zeit leide ich endweder an schitzophrenie oder jemand hat es auf mich abgesehen. ich gehe mal davon aus, das sich jemand in mein (anfangs dummer weise ungeschütztes) WLAN eingeklinkt hat und später sogar die WEP verschlüsselung knackte und in meinem Netzwerk Unfug trieb. Da ich auf WLAN verzichen kann, wurde das vor geraumer Zeit augeschlatet (Anzeige etc.. ohne Erfolg) Derjenige Telefonierte munter über meine VoIP Leitung und verzockte 70 € bei gameduell.de. Ok... nachdem das Ende letzten Jahre ausgestanden war (Die glauben mir leider immer noch nicht) hatte ich eine Weile ruhe. Bis zur Abbuchung von eBay neulich. Es stellte sich heraus, dass jemand meinen eBay PW herausgefunden hat und mehrere Autionen eingestellt hatte. Naja... ob eBay die über 260 € Gebühren jemand von mir fordern wird ist unklar. ich hoffe eigentlich das ich hinter meinem T-COm Router (soll ne Fritzbox drin stecken) schon gut geschützt bin, aber trotzdem meldete mit Norton mal den Trojaner trojan.peacomm und dass ich gechützt sei (auf dem laptop - nicht auf dem Hauptrechner - da war ich wohl ungrschützt). Hauptrechner ist mittlerweile neu aufgesetzt (vista :-(( ) aber der Laptop könnte noch spuren enthalten. Daher mal die Frage an Euch als know How Träger: Bitte checkt mir mir mal mein System. Denn alle Änderungen die im Internet beslang gemacht wurden, tragen meine IP Adresse *grummel* Vielleicht findet ihr ja mal was, mit dem ich andere überzeugen kann, dass ich nicht Schuld bin ^^ ok hier mein Log: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
24.03.2007, 02:29 | #2 |
| Finde den Hacker....schwere Aufgabe hallo silverforce,
__________________sorry ich hab mir dein log nicht angeschaut. Da reicht mir schon die Einleitung. 1.) Router mit WLAN richtig einrichten und verschlüsseln (min. WEP) 2.) PC neu aufsetzen und neue passwörter wählen siehe signaturen von denen mit den vielen Sternen. Grüße |
24.03.2007, 10:44 | #3 |
| Finde den Hacker....schwere Aufgabe Hallo!
__________________1) WLAN ist AUS. Und das wird es auch bleiben. Allerdings war er nochmal in meinem Netztwerk nachdem ich WEP verschlüsselt hatte. Berichten im Innternet zufolge (nachher ist man immer schlauer) braucht man für eine WEP Verschlüsselung nicht mehr als 30 Minuten (wurde auf der CEBIT letztes Jahr demonstriert). 2) Rechner neu aufsetzen. Ja, mit meinem großen Rechner habe ich das auch gemacht und habe jetzt Vista. Meinen Laptop habe ich bewusst nich neu aufgesetzt, da es ein legales system ist und viele viele verschiedene Virenprogs etc... nichts finden konnten. Ich möchte auch nicht einfach nur mein System neu aufsetzen, sonden mit Eurer Hilfe mal mein System checken um zu sehen was los ist und was noch da ist, aber nicht gefunden wird. Danach wird neu aufgesetzt. Ach ja... meine PW habe ich alle mittlerweile 3 mal geändert. ich wähle eine Kombi aus Zahlen und Buchstaben - 9 Zeichen lang. Geändert wird in regelmäßigen Abständen. Wie gesagt, mein Ziel ist nicht neu aufzusetzen, sondern erstmal festzustellen was los ist. Gruß Silver Hier der bearbeitete LOG: Logfile of HijackThis v1.99.1 Scan saved at 00:23:40, on 24.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\Programme\TELES\ISDN Tools\tisdnmon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ADS Tech\MediaTV\MediaTVMonitor.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\1XConfig.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Programme\Messenger\msmsgs.exe D:\highjackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.co.jp/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.co.jp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.co.jp/ie O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TISDNMonitor] C:\Programme\TELES\ISDN Tools\tisdnmon.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE UG-CMS7/UG-CMS8 O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: MediaTV Monitor.lnk = C:\Programme\ADS Tech\MediaTV\MediaTVMonitor.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/07dde3fb42336516ac01/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099340749140 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Geändert von Silverforce (24.03.2007 um 10:51 Uhr) |
24.03.2007, 11:08 | #4 |
| Finde den Hacker....schwere Aufgabe sorry meinte auch nicht (min. WEP) sondern (min WPA) ansonsten ändert sich meine Meinung nicht. |
24.03.2007, 18:18 | #5 |
| Finde den Hacker....schwere Aufgabe Wenn der Typ halbwegs Grips und kriminelle Energie hatte, hat er Dir sicherheitshalber, bevor er nicht mehr auf Dein System konnte, entsprechende "Tools" installiert, damit er Deine Infos noch mitbekommt. Daher eben die Empfehlung zum Neuausetzen. Ob das WLan jetzt aus ist oder nicht ist da ziemlich egal. Wenn jemand 'n Nachschlüssel zu Deiner Tür hat kannst zusperren wie'st willst, er kommt rein bis Du das Schloß tauscht. |
27.03.2007, 10:39 | #6 |
| Finde den Hacker....schwere Aufgabe Hmmm...... Gebt mir doch bitte mal n TIP. Wie ist es möglich über meine IP Adresse zu surven? Einige der Dinge die da geschehen sind, sind von meiner IP Adresse aus geschehen. ich habe überigens als Router den Speedport W 501 V von der T-COM. Ich habemir sagen lassen, es gibt evtl. die Möglichkeit diesen aus dem Netzt heraus fremdzusteuern und als Proxy (oder sowas) zu benutzen? Gruß Silver Ach ja.... was sagt Euch der Name: Trojan.Peacomm ? |
27.03.2007, 11:03 | #7 | |
| Finde den Hacker....schwere Aufgabe Hallo Silver* Es ist wohl sinnvoll, nicht gleich das Notebook zu formatieren - richtig! Ich habe vor kurzem hier on Board etwas ähnliches gelesen ... Mache ein Backup des Kopletten Systems des "Beweis"-Gerätes. ...dann kannst Du formatieren und hast evetl. Beweise "im" Backup. Einfacher: wenn Du das Gerät zZ nicht benötigst, lass es so "stehen", nur eben nicht nutzen. PS: WLAN ist sicher! Wenn .... und da gilt es sich zu informieren. Das selbe gilt für ein Betriebssystem ... und da gilt es sich zu informieren. Zitat:
|
Themen zu Finde den Hacker....schwere Aufgabe |
adresse, anzeige, check, ebay, frage, fritzbox, hallo zusammen, hijack, hijackthis, internet, ip adresse, jahre, laptop, links, log, mehrere, mein log, netzwerk, neu aufgesetzt, norton, rechner, router, schuld, t-com, trojaner, verschlüsselung, vista, wlan |